문제 파일 : Windows7(SuNiNaTaS)
사용한 Tool : WinHex.exe, VMware Workstation Pro.exe, Index.dat Analyzer.exe
문제 : "Brothers"
파일을 WinHex로 열어보면 egg 시그니처를 볼수 있다.
<WinHex.exe>
파일뒤에 .egg를 붙이고 압축을 해제하면 VM 파일들이 보이는데 그중에 .vmx 파일을 실행시킨다.
그러고 나면 Window7으로 부팅이 되고 메모장으로 작성한 문제가 나온다.
< 첫번째 질문 >
1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.
첫번째 문제를 해결하기위해 네이버에 들어가니 사이버 경찰청 차단화면으로 넘어가는걸 확인이되었다.
<차단화면>
파밍인거 같으니 hosts 파일이 변조가 됐을꺼같다. 들어가보니 텍스트파일로 되어있는 hosts 파일이 있는데 열어보니
일반 hosts파일이랑 포맷은 똑같은데 텍스트파일로 되어있을리가 없으니 숨겨져 있다.
<C:\Windows\System32\drivers\etc>
숨김 파일, 폴더 및 드라이브 표시에 체크를 하고 나서 본다.
<폴더 및 검색 옵션-숨겨진 폴더- 보기 - 숨김 파일, 폴더 및 드라이브 표시>
숨겨져있는 hosts 파일안에 키값이 있는걸 확인 할수 있다.
<hosts 파일>
Answer : what_the_he11_1s_keey
< 두번째 질문 >
2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?
키로거는 키보드를 통한 입력의 기록을 만들고 전송하는 방식인데, 그러면 프로세스에 보이니 taskmgr(작업관리자)를
켜보니 막아놨다. 커맨드창에 tasklist 입력해서 수상한 프로세스가 있는지 확인한다.
<작업관리자 막힘>
--------------------------------------------------------------------------------------
작업관리자 막힌걸 원래대로 돌릴려면 레지스트리 편집기를 실행시켜 이 경로로 들어간다.
그리고 값이 1로 설정이 되어있는데, 값이 1로 설정이 되어있으면 작업관리자가 실행이 되지 않는다. 값을 0으로 바꾸면 실행 된다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
<regedit>
<작업관리자>
-----------------------------------------------------------------------------------------
<tasklist>
그중에 수상해보이는 프로세스(v1rvr0.exe)를 찾아 원본파일을 찾아본다.
Answer : c:\v196vv8\v1tvr0.exe
< 세번째 질문 >
3. 키로거가 다운로드 된 시간은?
웹브라우저를 Internet Explorer만 사용했으니 index.dat의 내용을 확인해 보면된다.
Index.dat Analyzer.exe을 사용해서 보면 다운로드 된 시간을 확인할 수있다.
<Index.dat Analyzer.exe>
※index.dat 파일은 사용자가 방문한 모든 사이트에 대한 URL, 웹페이지 목록, 다운로드 기록 등이 기록되는 저장소이다.
index.dat는 IE9까지만 사용이 가능하고 IE10 및 11에서는 WebCacheV01.dat 를 사용한다.
Answer : 2016-05-24_04:25:06
< 네번째 질문 >
4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.
C:\v196vv8\v1valv\Computer1\24052016 #training\ss 경로에 들어가면 스크린샷이 많이 찍혀져 있는게 보이는데,
238 사진파일을 보게되면 z1.dat에 키로거 정보가 담기는게 보인다.
<238.jpg>
<z1.dat>
Answer : blackkey is a Good man
MD5(what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man)
↓
Answer : 970f891e3667fce147b222cc9a8699d4
'WarGame > Forensic' 카테고리의 다른 글
| [SuNiNaTaS] Forensic 31 (0) | 2018.02.07 |
|---|---|
| [SuNiNaTaS] Forensic 30 (0) | 2018.02.06 |
| [SuNiNaTaS] Forensic 26 (0) | 2018.01.22 |
| [SuNiNaTaS] Forensic 21 (0) | 2018.01.22 |
| [SuNiNaTaS] Forensic 19 (0) | 2018.01.22 |
