[DigitalForensic with CTF] GrrCON 2015 #28(28)

28번 문제에서는 멀웨어가 사용하는 키를 구해야 한다.

 

앞서 악의적인 행위의 실행과 관련된 경로를 다루었었는데, 이 경로를 나중에 이용할 것이다.

 

key를 찾기 위해 mftparser 플러그인으로 'Exchange Server'를 검색했다.

 

명령 실행이 끝나면 결과로 mftparser.csv 파일이 생성되는데, 

 

이를 호스트 PC로 옮긴 후 엑셀로 열어 확인해보았다.

 

1만 줄이 넘는 결과 중에서 의미 있는 결과를 도출하기 위해 방금 언급한 해당 경로를 복사한 후 찾기를 해보자.

 

해당 경로를 검색값으로 지정해 찾으면 출력 결과가 40여 개로 줄어드는데, 여기서 하나씩 확인하다 보면 중간에 thekey로 보이는 txt 파일이 하나 있다.

 

이 파일이 key 내용을 담고 있을 것이라는 생각이 들어 dump하기 위해 offset을 찾는 명령을 실행했고, 출력된 offset으로 dump를 진행했다.

 

명령어 실행이 끝나면, 위와 같은 파일이 디렉토리에 생성된다.

 

이를 호스트 PC로 가져와 HxD로 열면 암호화된듯한 문자열이 하나 있는 것을 볼 수 있다.

 

이를 flag로 제출하면 정답 처리가 된다.