관리 메뉴

CHIqueen

OtterCTF 2018 Closure 본문

포렌식/CTF

OtterCTF 2018 Closure

CHIqueen 2018. 12. 14. 17:43

Now that you extracted the password from the memory, could you decrypt rick's files?


vmware-tray.exe에서 pdb정보를 찾아봅니다.


$ strings executable.3720.exe | grep pdb

C:\Users\Tyler\Desktop\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\VapeHacksLoader.pdb


경로를 보면 hidden-tear라고 하는 https://github.com/goliate/hidden-tear 랜섬웨어를 찾을 수 있습니다. 다행히도 decrypter도 같이 있습니다.



하지만 무엇을 복호화를 해야될까요?

0x000000007e410890     16      0 R--r-- \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt


vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -D ./


파일을 얻고나서 프로그램을 돌리면 일단 2가지 난관을 겪는다.


1. 프로그램은 복호화 성공했다는데 정작 파일을 열어보면 복호화 안됨

2. 패딩값이 안맞아서 에러남



1. decrypter를 뜯어서 보면 확장자가 .locked인 파일을 대상으로만 복호화를 하니까 확장자를 locked로 해주면 된다.




2. 00전부 다 없애주면 성공한다.






CTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}


'포렌식 > CTF' 카테고리의 다른 글

OtterCTF 2018 Otter Leak  (0) 2018.12.14
OtterCTF 2018 Birdman's Data  (0) 2018.12.14
OtterCTF 2018 Recovery  (0) 2018.12.14
OtterCTF 2018 Graphic's For The Weak  (0) 2018.12.14
OtterCTF 2018 Bit 4 Bit  (0) 2018.12.14
Comments