25번 문제는 '악성코드가 처음에 설치된 파일의 이름'..이라고 되어있는데, 정확히는 '악성코드를 처음 설치시킨 파일의 이름'이 맞는 것 같다.
https://study-self.tistory.com/122
[DigitalForensic with CTF] GrrCON 2015 #23(23)
23번 문제는 감염에 사용된 malware의 이름을 알아내는 문제이다. 이전 문제에서 iexplore.exe(Pid: 3208)가 악의적인 용도로 사용되었다는 것이 어느정도 확실시 되었으므로, 해당 프로세스를 dump해 malwa
study-self.tistory.com
23번 문제를 풀면서 25번 문제의 답을 미리 얻은 것 같다. 3208.txt의 내용을 살펴보던 도중 'allsafe_update.exe'라는 파일을 내려받으라는 식의 내용이 있었고 이 파일로 인해 Dexter가 활성화되었는데, 그렇다면 결국 문제에서 요구하는 답은 이 파일의 이름이라고 생각이 들었다.
그리고 이를 flag로 제출하니 정답이었다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #27(27) (0) | 2022.01.11 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #26(26) (0) | 2022.01.08 |
| [DigitalForensic with CTF] GrrCON 2015 #24(24) (0) | 2021.12.28 |
| [DigitalForensic with CTF] GrrCON 2015 #23(23) (0) | 2021.12.28 |
| [DigitalForensic with CTF] GrrCON 2015 #22(22) (0) | 2021.12.27 |
