문제 파일을 다운로드 받으면 Windows7(SuNiNaTaS) 라는 파일이 다운로드 된다.
이 파일을 HxD에 넣어 파일 시그니처를 확인 해 보면
egg 파일이다. 확장자를 .egg로 바꾸어 확인을 해보면
vmware 가상머신 파일임을 알 수 있다.
가상머신을 실행 시켜보면 Windows7로 부팅할 수 있는데 부팅을 하면
30초 뒤에 자동으로 꺼지도록 설정이 되어 있다.
cmd에서 shutdown /a 명령어로 설정을 제거한다.
첫 번째 문제는 네이버에 들어가면 사이버 경찰청 홈페이지로 들어가지는 원인을 찾아야 한다.
hosts파일이 변조되어 naver 주소가 사이버 경찰청 ip로 연결 되어 있는 것 같다.
hosts 파일의 경로는 C:\Windows\System32\drivers\etc 에 있다.
이 폴더를 보면 hosts파일이 있는데 txt 파일이다. hosts파일은 원래 txt 파일이 아니다.
폴더 옵션에서 숨김파일 표시로 설정하게 되면
hosts 파일이 나타나게 된다.
hosts 파일을 메모장으로 열어보면 key값이 보인다.
두 번째 문제를 보면 키 로거의 절대 경로 및 파일명을 알아내라고 한다.
컴퓨터에서 최근위치를 가보면 여러 폴더들이 있는데 그중 v1valv 폴더에 들어가 보면 C:\v196vv8\v1valv\Computer1\24052016 #training\ss 경로에
9.jpg 파일을 보면 키 로거의 절대 경로를 알 수 있다.
세 번째 문제를 보면 키로거가 다운로드된 시간은 BrowsingHistoryView 라는 프로그램을 써서
모든 시간대로 설정하고 프로그램을 실행시키면 다운로드된 시간을 찾을 수 있다.
네 번째 문제를 보면 키로거를 통해 알아내고자 했던 내용은
2번 문제를 해결하기 위해 접속했던 C:\v196vv8\v1valv\Computer1\24052016 #training 폴더에 z1.dat 파일을 메모장으로 열어보면 key 값이 보인다.
4개의 답들을 조합하여 md5로 해시하면 문제가 해결된다.
'Security & Hacking > Wargame' 카테고리의 다른 글
| [SuNiNaTaS] Forensic 31 (0) | 2019.02.11 |
|---|---|
| [SuNiNaTaS] Forensic 30 (0) | 2019.02.10 |
| [SuNiNaTaS] Forensic 28 (0) | 2019.01.31 |
| [SuNiNaTaS] Forensic 26 (0) | 2019.01.27 |
| [SuNiNaTaS] Forensic 21 (0) | 2019.01.24 |