2021CCE에 출제된 포렌식 문제
이번에도 기본에 충실하라는 내용을 담고 있다.
시스템 이벤트 로그 분석을 하는 문제이다.
문제에서 주어지는 log.evtx 파일은
Sysmon 이벤트 로그를 담고 있다.
https://hackingstudypad.tistory.com/571
[2021 화이트햇 콘테스트] B-2 - 포렌식 / Sysmon View
2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는
hackingstudypad.tistory.com
Sysmon 이벤트 로그에 대해서는
지난 화이트햇 콘테스트 문제 풀이에서 많이 다뤄서
넘어간다.
로그는 많이 없어서
조금 내리다보면 이런 cmd 명령어 실행 기록을 찾을 수 있다.
뭔가 알수없는 문자열들이 많이 나와있는데
저 문자열을 그대로 복사해서 cmd 에시 실행시키면
그 결과값을 바로 볼 수 있지 않을까 해서 실행시켜 봤는데
잘못된 명령어라는 에러가 발생한다.
문제 풀이 결과를 보면 알겠지만 명령어가 아닌 문자열이 섞여 들어가서 그런 것이다.
빨간색 부분까지는 세팅하는 작업이고
빨간색 뒷부분이 완성된 문자열이다.
다 똑같아 보이는 ||| 같은 문자열은 사실 미묘하게 하나씩 다르다.
알아보기 쉽게 set 을 기준으로 줄바꿈해서 쳐보면
각 문자열들이 하나의 알파벳, 기호, 숫자들과 매칭되어있다는 것을 알 수 있다.
복잡한 작업 할것 없이
문자열 부분을 메모장에 붙혀넣고
ctrl + f 로 글자 하나씩 찾아서 바꿔주면 된다.
'CTF > 포렌식' 카테고리의 다른 글
| [2021 화이트햇 콘테스트 본선] A-1 - 포렌식 (149) | 2023.08.27 |
|---|---|
| [2021CCE] Ransom - 포렌식 / XOR (167) | 2023.08.25 |
| [2021 화이트햇 콘테스트] H-1 - 포렌식 / Wireshark / Certutil (114) | 2023.08.04 |
| [2021 화이트햇 콘테스트] G-1 - 포렌식 / Sysmon View / Powershell (100) | 2023.08.02 |
| [2021 화이트햇 콘테스트] F-1 - 포렌식 / Wireshark (116) | 2023.07.31 |