NoNaMeD wargame | infect

첨부된 파일은 다운로드 받고, 압축을 풀면

확장자가 .ad1인 파일 하나가 있다.

 

jonnastudy.tistory.com/37

윈도우 포렌식 도구 사용법 | FTK Imager

의 방법을 이용해 보기로 했다.

 

악성프로그램을 찾아 파일명과 실행시각을 알아내라하였으므로

 

일단 악성 프로그램이 유입된 루트를 찾아야한다.

 

우선 /[root]/Users/username(여기서는 swings라고 되어있다)/Downloads/ 경로를 따라 들어가보면

두번째에 있는 파일이 사이즈가 유독 커 눈에 띈다.

 

우클릭 후 Export Files를 눌러준다.

 

문제에 첨부된 파일에 넣어주었다.

 

실행시각 포맷 (월일.시:분:초 )을 찾아내야 하므로

다시 DBbrowser을 이용해 저 프로그램의 prefetch 파일을 찾아야한다.

 

· Prefetch

 - 경로 : /root/Windows/Prefetch/

 - 목적 : 프로그램의 대기시간을 줄이기 위해 사용됨

 - 특징 : exe 프로그램이 실행되면 pf파일이 생성됨

 ☞ pf파일이 만들어진 시각 == exe프로그램의 최초 실행 시각

   ( pf파일 수정된 시각 == exe프로그램의  마지막 실행 시각 )

 

 

/[root]/Windows/prefetch/ 에서

VBOXTESTER.EXE-B0C8945.pf 파일을 Export Files 해주었다.

 

 

이제

jonnastudy.tistory.com/39

 

윈도우 포렌식 도구 사용법 | WinPrefetchView

 

의 방법을 이용해 포멧시간을 확인하면 된다.

 

 

Options-Advanced Options에 들어가

pf 파일을 담음 infect_image 폴더를 누르면

가 있다. 더블클릭해주면

이렇게 속성을 확인할 수 있다.

파일명.확장자는 VBOXTESTER.EXE이고

생성시각(실행시각)을 문제의 조건(실행시각 포맷 : 월일.시:분:초 ex)1월1일 13시 01분 01초인 경우 0101.13:01:01 KST 기준입니다.)대로 다시 적으면

1028.23:14:09이다.

 

flag format : NND{VBOXTESTER.EXE_1028.23:14:09} 이 완성된다.

 

그런데 입력해보면 실패한다. 아무래도 파일명.확장자가 대문자로만 되어있어서 그런것 같다.

정확한 파일명.확장자를 찾기 위해 

내컴퓨터의 폴더에 들어가봤는데 거기도 풀 대문자였다.

DB browser도 뒤적거리다가 다시 FTK Imager에 들어가서

폴더를 여기저기 살펴보다

Desktop 폴더에 진짜 파일명이 있었다. 

 NND{VboxTester.exe_1028.23:14:09} 이 최종적으로 완성되었다.

 

성공 ^_^

 

---

문제를 풀기 전 사용해야할 툴에 대한 힌트를 받은 덕분에

한정된 툴 내에서 이것저것 시도하다보니 문제를 푸는데 그리 오래 걸리지 않았다.

만약 툴이 한정되어있지 않고, 내가 직접 사용해야할 툴이 무엇인지 판단해야된다면 무척 어려웠을 것 같다.

 

exe파일이 실행되면 prefetch파일이 생성된다는 점을 이용해 

악성프로그램(.exe)이 실행되었을 때 생기는 prefetch를 분석해야한다고 판단하였다.

 

( tmi 툴 깔다가 이상한 거 잘못 깔아서 내가 악성프로그램 감염됨 ㅎ)