5주차 윈도우 과제 [SuNaNiTaS Forensics 29] 문제 풀이

 

http://suninatas.com/challenge/web29/web29.asp

Game 29

 

다운받은 파일 압축을 풀어보면 가상머신을 사용해야할 것 같은 느낌이 든다.

VM Ware로 들어가면 아래와 같은 화면이 보인다.

 

먼저 IE 부터 확인하기로 했다. IE 검색창을 확인해보니 'prefetch' 검색기록이 있음.

>>> " Windows 프리패치(Prefetch) 파일은 자주 사용하는 프로그램의 실행 데이터를 미리 메모리에 로드하여 부팅 및 응용 프로그램 실행 속도를 향상시키는 윈도우 기능 파일입니다."

 

 

그리고 드라이브 안에도 키로그와 리포터 큐가 존재한다. 별 다른건 없었다.

 

그러다가 최근항목에서 이런 리스트를 보았는데

 

활성화된 파일 들어가서 확인해보면 사용자 화면이 다 캡쳐되어서 저장되고 있었음 ㄷㄷㄷ 이 파일을 더 자세히 보았는데 이걸로 푸는 건 아닌 것 같다. 여기서 살짝 PTSD 왔지만 그래도 해보기로 함.

 

지피티니에게 이런 문제는 어떻게 접근해야 하냐고 물어봄. 그랬더니 1번 같은 경우는 DNS 조작일 가능성이 높다고 함

(DNS가 도메인 이름에 알맞는 IP주소를 붙여주는 시스템인데, 네이버만 들어가면 다른 사이트로 이동한다고 하니 조작이라고 생각했나보다)

DNS 조작은 핑 으로 간단하게 알 수 있다고 한다.

 

실제로 ping명령어를 쳤더니, 100% 손실(????)이라는 답장을 받았다. 지피티가 nslookup 사용하면 더 정확하게 알 수 있다고 해서

 

바로 사용해보니 결과가 좀 다르게 나온다. 해석해보면

서버: UnKnown // 올바른 DNS라면 이름이 떠야함 -> 비정상 DNS 서버
Address: 192.168.222.2 // 1번 정답후보1

이름: naver.com.localdomain // localdomain 정답후보 2 (몰랐는데 원래는 .com까지만 나와야한다고 한다)
Address: 223.130.200.219 // 정상적인 naver.com 대역폭이라서 답일 확률은 낮음

 

 

이제 2번으로 넘어가보자 ~~

 

키로거 같은 건 윈도우가 시작되며 동시에 실행될 수 있는 프로그램이므로 윈도우 시작할 때 자동 실행되는 프로그램 목록 경로를 따라가 보았다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

첫 번째 경로엔 아무것도 없었고, 두 번째 경로에는 

 

아까 유심히 보았던 파일명 그대로 .exe파일이 있는 것을 확인할 수 있었다. 따라서 2번답은 아래와 같다.

2번 정답 → c:\v196vv8w\v1tvr0.exe

 

 

이제 3번으로 넘어가보면 다운된 시간을 알아야하는데 간단한 명령어로 알아내면 끝난다.

v1tvr0.exe -> 2016-05-24 오전 04:26 -> 2016-05-24_04:26:00

 

4번은 무엇을 찾으려 했는가? 였기에 키로거 파일 경로에 있던 모든 파일을 다 뒤져보다가 발견했다.

blackkey is a Good man

 

정리해보면

 

1번 = 192.168.222.2 or localdomain

 

2번 = c:\v196vv8w\v1tvr0.exe

 

3번 = 2016-05-24_04:26:00

 

4번 = blackkey is a Good man

 

192.168.222.2c:\v196vv8w\v1tvr0.exe2016-05-24_04:26:00blackkey is a Good man

이거나

localdomainc:\v196vv8w\v1tvr0.exe2016-05-24_04:26:00blackkey is a Good man

를 MD5로 변환 시켜주면

 

ee2e5c41d071dff98dbb3f7a297b5c2c

이거나

eebfd8c96cb7df442d1ea87c5813a6f4

 

멘붕... 두개 다 아니라고 한다. " 붙여야하나?

 

192.168.222.2c:\v196vv8w\v1tvr0.exe2016-05-24_04:26:00"blackkey is a Good man"

이거나

localdomainc:\v196vv8w\v1tvr0.exe2016-05-24_04:26:00"blackkey is a Good man"

변환하면

 

c5f71ff840a579b9b8ee225c26b9ef34

이거나

668b2a3b0af1ed36450f2bffd6975a19

 

잉... 또 아니라고 한다

 

이번엔 답마다 띄어쓰기 해줘봤다.

 

192.168.222.2 c:\v196vv8w\v1tvr0.exe 2016-05-24_04:26:00 "blackkey is a Good man"

이거나

localdomain c:\v196vv8w\v1tvr0.exe 2016-05-24_04:26:00 "blackkey is a Good man"

이거나

192.168.222.2 c:\v196vv8w\v1tvr0.exe 2016-05-24_04:26:00 blackkey is a Good man

이거나

localdomain c:\v196vv8w\v1tvr0.exe 2016-05-24_04:26:00 blackkey is a Good man

변환하면

 

5cd3ee01372703dcc60c6a91020a3338

282dd18a8f775cb83dcc9067ffa9bbf5

23577f06eb3ddaf740a24437c7026ee6

a7576e0e5f586fea11ff62997ac94c35

 

뭐지ㅏ???????????????????????? 어디서 잘못된건지 1번을 잘못풀엉나????

 

앟

 

다시 경로가보니 대놓고 있었음...ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ

 

what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:26:00blackkey is a Good man

 

왜 아니지????????????????? 뭐야ㅐ 뭐가 틀린거야 뭔데

 

완전 잘하신 다른 분들 라업을 보고 왔는데... 다 툴을 깔아서 푸시네요 그래서 나도 깔려고 했는데 인터넷이 왜 안되는건지 모르겠다. 다른분들 라업에는 잘 되던데...

 

답은 이거라고 한다.

2016-05-24_04:25:06

 

내가 찾은건 

2016-05-24_04:26:00

이거였는데, 아무래도 정확한 시간을 알아내기 위해서는 관련 툴 사용이 필요한 것 같다. 다시 4가지 답을 조합해서 md5로 치환하면

 

what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man

970f891e3667fce147b222cc9a8699d4

 

 

 

끗...