본문 바로가기
Forensics/Wargame

[N0Named wargame] infect

by sseddi 2020. 11. 17.
728x90

문제를 보면 악성 프로그램을 찾아 파일명과 실행시각을 알아내라고 한다.

악성프로그램은 결국 실행되어야 하니까 확장자가 exe인 것을 유의깊게 봐야겠다.

 

첨부파일을 다운로드 받아보면 ad1파일과 텍스트 파일이 하나 들어있다.

 

우선 ad1파일을 FTK imager을 사용해 열어보자

 

일단 파일을 열어서 유저의 바탕화면에 들어가보니, 의미 없는 data2.encrypted 파일과 그 밑에 VboxTester.exe 파일이 보인다.

data2.encrypted 파일의 시간을 바탕으로 윈도우 pf 파일을 찾아보면 flag를 찾을 수도 있을 것 같다는 생각이 들었다.

 

data2.encrypted 파일의 시간은 20년 10월 28일 오후 2시 14분 9초인데, 그때 pf 파일은 두 개가 생성되었다. 

하나는 CMD,EXE파일이므로 두 번째 부분을 보면, VBOXTESTER.EXE가 적혀있는 것을 볼 수 있다.

 

아까 바탕화면에서 확인했던 exe파일이 아마 악성 프로그램인 것 같다.

 

파일을 추출해서 확실히 확인해보자

 

 

파일을 추출하려고 하기만 해도 바이러스 및 위협 방지 알림이 떴다.

 

 

추출한 뒤 바탕 화면에 VboxTester.exe 파일을 실행해보려고 했으나 실행되지 않았다.

 

경고 알림을 통해 이 프로그램이 악성 프로그램 임을 알 수 있었다.

 

flag는 KST 기준이라고 했으므로, 아까 확인한 pf 파일 시간에서 9를 더해주면 된다.

성공!

 

728x90

댓글