[Forensic] 써니나타스 Challenges 29번 문제

 

또 포렌식 문제다. 문제를 여러개 풀어야 한다.

 

download2 파일을 받아보자. 용량이,, 매우크다. 혹시 volatility를 사용해야하는걸까,,

 

 

 

근데 파일이 실행이 안돼서 HxD로 확인해봤는데 egg 파일이라 확장자 수정을 먼저 해주어야 했다.

 

 

요걸 풀어보자!

 

 

파일이 여러개 들어있다. 일단 VMware로 Windows7을 실행시켜보았다.

 

 

 

아이고 복잡해

 

1번부터 풀어보자.

 

1. 웹 서핑은 잘되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾아내면 Key가 보인다.

요거는 이제.. host 파일을 참조하면 되는데 계속 재부팅이 돼서;; shutdown -a로 중지를 시켜줬다.

 

 

hosts 파일을 찾아 열어줬다.

 

 

비밀번호를 찾았다. (what_the_he11_1s_keey)

 

2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)  ex) c:\windows\notepad.exe

 

음 키로거가 뭐냐면 키보드를 통해서 내가 입력한게 모두 기록으로 남는 것이라고 생각하면 된다. 근데 이게 ... 이게 어딨을까

 

umm.. 일단 최근항목에 들어가서 이것저것 뒤져봤다.

 

어머머

C:\v196vv8\v1valv\Computer1\11062022 #training\ss 이 폴더에

내가 한 행동들이 모두 캡쳐가 되어있었다..!

무서버라

 

 

 

 

C:\v196vv8\v1valv\Computer1\24052016 #training\ss 이 폴더 안에 있는 사진을 뒤져봤는데, 이게 키로거인거 같다.

절대경로는.. C:\v196vv8\v1tvr0.exe 이거인듯

 

 

3. 키로거가 다운로드 된 시간은?   ex) 2016-03-28_13:11:00 (yyyy-mm-dd_hh:mm:ss)

 

다운로드 된 시간은 어떻게 찾을까.. 음..

 

 

오!

나머지 스크린샷들을 보다가 키로거를 다운받았을 때 정보(?)를 확인할 수 있었다.

2016-05-24_04:25:06

 

 

4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾아내면 Key가 보인다.

 

마지막으로, 이 키로거를 통해 알아내고자 했던 내용이 뭔지 알아내면 된다. 

 

 

이.. 이걸 보자

 

 

엥 찾았다.

 

blackkey is a Good man

 

인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키))이다.

what_the_he11_1s_keey+C:\v196vv8\v1tvr0.exe+2016-05-24_04:25:06+blackkey is a Good man

아 ㅠ 계속 오류가 나서 뭔가 했는데.. 2번 답 경로에서 C가 아니라 c였다,,

 

풀이 완료!