[SuNiNaTaS] [FORENSIC] Level 29. Brothers

이 문제를 풀며, 정말 수사관으로 빙의해서 푼 것 같다.

대략적으로 설명하자면, DNS Spoofing에 대한 확인 절차, Browsing History 분석 정도로 풀 수 있다.

상세 설명은 아래를 클릭

문제에서 설명했듯 네이버에 접속하면, warning.or.kr이 표시된다.

hosts 파일 변조가 의심되어, 숨김 파일 속성을 해제하고 C:\Windows\System32\drivers\etc로 이동했다.

실제 아래처럼 변조되어 있는 것을 볼 수 있으며, 아래의 주석으로부터 첫 번째 키를 획득했다.

2번째 문제를 풀기 위해, 현재 실행중인 프로세스를 확인해야 하는데, taskmgr이 잠겨 있다.

Process Explorer 같은 툴을 받아 확인할 수 있겠지만, 레지스트리 값을 복구하는 방향으로 진행해보겠다.

Ctrl+R을 눌러 regedit을 입력해 실행하자.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

이제 taskmgr을 실행할 수 있다.

이상한 파일이 실행되고 있는 것을 볼 수 있다. (다행히 stealth process로 실행하진 않는다.)

해당 파일 경로로 이동하면, 아래의 폴더가 보인다.

이렇게 2번 문제 해결.

3번 문제를 풀기 위해, browsinghistoryview라는 툴을 실행했다.

keylogger라고 쓰여 있는 exe 파일을 받은 기록이 남아 있다.

받은 시간이 3번의 답이다.

마지막 4번 답은 2번에서 확인한 경로의 하위 파일들을 확인해보면, 알 수 있다.

4개의 답을 이어 붙여 md5 hash하면 인증키가 되겠다.

Clear~