5번 문제에서는 악성 프로그램이 지속성 유지를 위해 사용하는 레지스트리 key이름을 알아내야 한다. 여기서 '재부팅 후에도 지속성을 유지'한다는 것이 핵심인데, 이와 관련된 기능을 하는 윈도우 레지스트리 여러 개가 있다.
- 특정 계정에 대해 영구적인 설정
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 특정 계정에 대해 일시적인 설정
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- 전체 계정에 대해 영구적인 설정
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- 전체 계정에 대해 일시적인 설정
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
아마 보안기사를 공부했다면 충분히 접했을만한 레지스트리들이다. 이 레지스트리 위치를 인자로 하여 printkey 명령어를 실행할 것이다. 상세한 값을 출력하기 위해 -K 옵션도 당연히 포함된다. Volatility의 printkey 명령어는 특정 레지스트리 key내에 포함된 subkey, value, data, data type을 출력해주는 기능을 한다. 또한 문제에서 '지속성을 유지'한다고 하였으므로 'RunOnce'가 아니라 'Run'에 대해 살펴보아야 한다.
위에 나오는 것처럼, 위치를 인자로 입력 시 앞 부분을 제외하고 일부만 활용해도 결과가 잘 출력된다. 아래 빨간 밑줄을 보면 지금까지 다뤄왔던 익숙한 악성 프로그램 이름이 있고, 이에 대한 레지스트리 key이름이 'MrRobot'으로 보인다.
이를 flag로 제출하니 정답이었다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #7(7) (0) | 2021.12.07 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #6(6) (0) | 2021.12.06 |
| [DigitalForensic with CTF] GrrCON 2015 #4(4) (0) | 2021.12.03 |
| [DigitalForensic with CTF] GrrCON 2015 #3(3) (0) | 2021.12.02 |
| [DigitalForensic with CTF] GrrCON 2015 #2(2) (0) | 2021.12.02 |
