[Forensic] 써니나타스 Challenges 31번 문제

 

 

코드짜는거만 아니면 다 재미있는 포렌식 문제,,

 

악성코드가 첨부된 PDF 파일을 분석해 Flag를 찾으면 된다. 

 

일단 pdf를 분석할 수 있는 툴을 다운받아보았다.

 

PDFStreamDumper

 

 

파일을 오픈하면 이런식으로 보일 것이다.

 

음

 

뭘 봐야할지 몰라서 일단 하나하나 다 찾아봤다.

 

자바스크립트 부분을 보고 싶은데.. 

 

요부분을 

 

 

Decompressed Stream으로 저장해봤다.

 

 

그럼 이렇게 txt 파일로 저장이 되어있다.

 

흠..

 

근데 여기서 base64 디코딩을 사용하는줄 알았는데 별다른 소득이 없었다.

 

또다른 pdf 파일이 있을거 같은데 그걸 어떻게 찾아야하는지 방법을 모르겠다.

 

39 오브젝트에서.. %PDF-1.7가 보였는데 이걸.. Decompressed해서 확장자를 pdf로 바꿔봤다.

 

 

보니까 파일안에 뜨는게 아무것도 없고, 파일명 옆에 보안문서라고 떠있었다. 

 

음.. 툴을 안 쓰고 보안을 해제하는 방법이 없나,,

 

 

오!! 

PDFStreamDumper를 다시 사용해서 이 pdf 파일을 불러왔더니 다음과 같이 뜬다.

 

흠

 

 

근데 풀어도 별다른 플래그 값이 보이지 않았다. 0부분을 보니까 여전히 Encrypt가 되어 있었다,,

 

 

PDF 파일을 해제하세요. PDF 파일의 비밀번호를 제거하세요.

 

랜섬웨어 잔뜩걸릴거 같이 생김

 

 

엥.. 왜 플래그 값이 안나오지..?

 

 

PDF 잠금 해제

 

 

여기서 풀었더니 flag 값이 나왔다;

 

와 이제 진짜 ,, 한 문제만 남았군