[DigitalForensic with CTF] GrrCON 2015 #21(21)

21번 문제는 예약 작업과 연결된 파일의 이름을 찾아내는 문제이다.

 

처음엔 몰랐는데, https://driversol.com/ko/file-extensions/job-4063에 언급된 내용 일부를 보니 예약된 작업, 스케줄링 작업과 관련된 파일은 job 파일이라고 한다.

 

해당 vmss파일에서 job파일의 흔적을 찾기 위해 'job'을 키워드로 filescan을 하였다. 스캔이 끝나고 나면 위처럼 여러 개의 파일들이 출력되는데 우리는 '.job' 확장자의 파일을 알아보아야하므로, '.job'으로 끝나는 파일 2개를 보도록 하자. 2개 중 하나는 구글 관련 파일인 것 같으므로 제외하고, 그렇다면 결국 살펴보아야 할 파일은 'At1.job'일 것 같다. 

 

At1.job의 내용을 살펴보기 위해 dump를 하면 dat 확장자 파일이 하나 생성된다.

 

이를 호스트 PC에서 HxD로 열면 위와 같은 내용이 담겨 있는 것을 볼 수 있는데, 내용 중 '1.bat'이라는 batch 파일이 하나 눈에 띈다.

 

다시 가상 머신으로 돌아오고, 1.bat이란 파일을 검색한 후 dump를 하면 마찬가지로 dat 파일이 하나 생성이 되는데,

 

새로 생성된 dat 파일의 내용을 출력시켜 보면 이미 여러 번 봐서 눈에 익은 cmd 명령이 출력된다. 결국은 1.bat파일이 문제에서 요구하는 파일인 것 같으므로,

 

이를 flag로 제출하면 해결할 수 있다. 이로써 'target2-6186fe9f.vmss'를 분석하는 것은 마무리되었다.