CHIqueen
TJCTF 2018 Volatile Virus write-up 본문
My computer seems to be running quite slow these days. I probably downloaded a virus or something. Luckily I was able grab some stuff off it before it crashed.
Edit: Please submit the md5 hash of the entire, lowercased flag (including tjctf{}) instead of actually submitting the flag.
먼저 imageinfo를 통해 profile을 확인해 줍니다.(솔직히 저는 문제 풀때는 kdbgscan을 주로 사용합니다.)
그 다음 pstree로 프로세스를 확인해 봅니다.
크롬이랑 파이썬이 실행중이 었던게 보이네요 cmdline을 통해 어떤게 돌아가고 있었는지 확인해 보면
파이썬으로 만들어진 키로거가 돌아가고 있네요
filescan으로 keylogger.py의 위치를 확인해주고 dumpfiles로 추출해 줍니다.
키로그는 %Temp%\logs.pkl로 저장이 됩니다. 키로그도 추출해 줍니다.
키로그를 보면
상당히 더럽게 되어있다. 우리는 파이썬의 pickle라이브러리를 통해 예쁘게 만들것이다.
진짜 불러오자마자 그대로 출력하면 더러움의 극치를 볼 수 있으니 깔끔하게 해줍니다.
하면 TJCTF{TH1S_1S_N0T_A_V1RU5_ 를 얻을 수 있습니다.
저 내용을 읽다보면 사용자는 이상하게 다운로드 기록을 지우는 법을 찾고 있었는데요 수상합니다.
chromedownloas를 통해 다운 기록을 추출해 줍니다.
요즘 데이터분석을 공부하고 있어서 엑셀은 저리 치우고 파이썬을 이용해 보겠습니다 ㅎㅎ
판다스를 통해 csv파일을 불러옵니다.
이 문제가 게싱이 필요한게 있습니다. current_path를 보다보면 뜬근없이 "}"가 나오는데 플래그의 마지막으로 생각하고 보다가 어떻게 정렬하면 저렇게 나올까 봤더니 용량이 1씩 차이가 있길래 용량을 기준으로 정렬을 해줬습니다.
그래서 앞에 경로를 지우고 출력해서 보면
문제에서 전부 소문자로 하라했으니 소문자로 바꿔 줍니다.
그리고 md5로 처리해주면
c77b84d65ec3e46cd1ccbda536764ec6
'포렌식 > CTF' 카테고리의 다른 글
OtterCTF 2018 What the password? (0) | 2018.12.14 |
---|---|
TJCTF 2018 Ssleepy write-up (0) | 2018.10.19 |
Swamp CTF 2018 Wild Night Out write-up (0) | 2018.10.16 |
InCTF 2018 Mag1cal Radio write-up (0) | 2018.10.16 |
InCTF 2018 Evilcrypter write-up (0) | 2018.10.14 |