시간은 GMT+9이고 lowercase md5이면 md5 해시값을 구하면 authkey값을 구할 수 있을 것 같다.
Prob File을 받아보면 7z파일이 받아진다.
FTK Imager로 열어보면 파일이 엄청 많이 보이는데, 거기서 Recent 폴더를 찾아 바탕화면에 추출해보았다.
Recent 파일을 열어보면 확장자가 avi인 꺼림직한 것을 볼 수 있다.
속성에 들어가보면 파일 위치 외의 정보는 딱히 없었다.
여기서 원본 경로를 알 수 있다. -> H:\study\s3c3r7.avi
원본경로 외에도 만들어진 시간, 마지막 실행된 시간, 쓰인 시간, 볼륨 시리얼을 알아내야 한다.
010 editor을 사용하기로 했다.
프로그램 다운을 받고 바탕화면의 avi파일을 선택했다.
여러 내용들을 볼 수 있는 것을 알 수 있다.
먼저 시간들을 보기 위해 여러 폴더를 뒤적거리다보면
creation time, access time, write time 모두 확인할 수 있다.
하지만 GMT+9이라고 했으니까 9시간씩 더해주었다.
마지막으로 볼륨 시리얼을 확인해야하는데,
볼륨 뭐가 있길래 들어갔더니 serialnumber라는게 있어서 봤더니 3500671657이 써 있었는데
볼륨시리얼은 리틀 엔디안 방식으로 써야한다고 한다. (문제의 예시를 봐도 AAAA-BBBB라고 써 있다.)
그래서 3500671657이 D0A8-02A9가 된다.
원본경로부터 쭉 써보면
H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9 가 된다.
md5 해시값을 구해보면
나온 값 복붙해서 적었더니 틀렸다고 나와서 문제 다시 보니까 lowercase(소문자) 가 써있어서
알파벳을 소문자로 바꿔주었다.
그랬더니
성공!
참고)
https://haloworld.tistory.com/39
http://blog.plainbit.co.kr/archives/1916
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?cmd=scrap&seq=20374&menu_dist=2
'Forensics > Wargame' 카테고리의 다른 글
| [ctf-d] 저는 플래그를 이 파일에... (0) | 2020.07.18 |
|---|---|
| [ctf-d] 제 친구의 개가 바다에서... (0) | 2020.07.13 |
| [XCZ.kr] Prob.22 Who's Notebook? (0) | 2020.07.05 |
| [XCZ.kr] Prob.27 XCZ Company Hacking Incident (0) | 2020.07.05 |
| suninatas Forensic 21 (0) | 2020.06.15 |
댓글