(2021.01.21)
N0Named Wargame - inject
악성코드에 감염된 PC....
악성프로그램을 찾아 파일명과 실행시각을 알아내야한다....
hxd 프로그램으로 끄적이던 문제만 풀다가 이런 문제를 보니까 갑자기 숨이 턱 막힌다...후하후하
파일 다운받고 압축을 풀어주니...
흠.....
어떤 도구를 어떻게 써줘야하는지 매우매우 막막하다...
일단 infect_image 니까 FTK image 도구를 이용해보자
root 안에 굉장히... 많은 파일들이 있다.
여기에서 악성코드프로그램을 찾아야한다!!!!
Users/사용자 이름/AppData/Local/Google/Chrome/User Data/Default/History 경로로 검색기록을 찾아줘보자...
export 해주고
db browser 도구에 넣어준다.
이제 다시 FTK 도구로 가서 download 를 살펴보자
export 해줬더니 매우 클릭하면 위험할 것 같은 모습을 드러냈다...
이것의 실행시각을 알면 풀리는 것인가??
prefetch 를 분석하기 위해 사용하는 프로그램인 winprefetchview 를 이용해보자..
이를 통해 아이콘, 경로, 실행횟수를 알 수 있고, Options을 눌러 경로를 수정할 수 있다.
포맷시각을 알아내기 위해 필요해보인다.
이제 vbox 뭐시기의 prefetch 를 찾아야한다.
둘 중 뭐를 해야하는지 몰라 둘다 export 해주었당
PF 파일이 유형인 친구를 windprefetchview에 넣어줘보자
넣어주는 건줄 알았는데 파일이 없어서 당황했다..
options 누르고 경로를 바꾸어줘야한다....
내가 prefetch 파일을 export 했던 폴더로 바꿔준다.
|
문제를 다시 떠올리자 flag format : NND{파일명.확장자_실행시각} 실행시각 포맷 : 월일.시:분:초 ex)1월1일 13시 01분 01초인 경우 0101.13:01:01 KST 기준입니다. |
플래그에 맞게 바꿔주면 1028.23.14.09 이다.
오후 11시라는 거에 주의해서 23으로 해주어야한다.
흠... 실행시각은 알아냈는데 파일명과 확장자가 뭐였지??
FTK Imager 에서 download 로 들어가서 찾아봄
이렇게 긴게 과연 답일까 싶었지만 혹시 모르니
NND{VB0x1nst4ller_crackversion.exe_1028.11:14:09} 를 입력했지만... 실패
다시 winpretechview 로 들어가서 확인함..
NND{VBOXTESTER.EXE_1028.11:14:09} 입력했지만 실패..
NND{VBOXTESTER.exe_1028.11:14:09} 역시나 실패...
다...시.... FTK Imager 에 들어가서 desktop을 봤음...
NND{VboxTester.exe_1028.23:14:09} 입력~~
드디어 성공....
어렵다.......
나는 그래도 포렌식 교육때 배운 툴을 이용하겠구나 해서 이용한 건데..
그냥 풀라고 하면 어떤 도구를 사용해야할지 정말 막막할 것 같다....
'Write Up > N0Named Wargame' 카테고리의 다른 글
| [포렌식] N0Named Wargame - [B] 유출된 자료 거래 사건[3] (0) | 2021.01.29 |
|---|---|
| [포렌식] N0Named Wargame - [B] 유출된 자료 거래 사건[2] (0) | 2021.01.29 |
| [포렌식] N0Named Wargame - [C] 우리의 추억들 (0) | 2021.01.27 |
| [포렌식] N0Named Wargame - [A] 입사테스트 [2] (0) | 2021.01.07 |
| [포렌식] N0Named Wargame - MagicIMAGE (0) | 2021.01.06 |
