2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 A-3 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/691)
반응형
B-1 문제는
DLL 형태로 정상 프로세스에 기생하는 악성코드가
악성 행위를 수행하는 주기를 밀리세컨즈 단위로 제출하는 것이 목표이다.
지난 A-2 문제에서
HxD 에서 발견한 BASE64 인코딩된 문자열을
CyberChef(https://gchq.github.io/CyberChef/) 에서
해당 부분의 Hex 값을 가져와 디코딩 했었는데,
스크롤을 조금 내려가 보면
레지스트리 키가 추가되는 부분을 확인할 수 있었다.
여기서 문제의 DLL 파일인 netmon.dll 을 식별할 수 있었다.
everything.exe 도구를 이용해
netmon.dll 이 System32 폴더 안에 있음을 확인했고
해당 dll 을 IDA 를 이용해 분석하여
수도코드를 확인해 본 결과
sub_180011C0 에서
Sleep(71756) 함수가 있는것을 확인했다.
Sleep 안에 인수로 들어가는 숫자는 밀리세컨드 단위이므로
이번 문제의 플래그는
FLAG{71756} 이 된다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트 본선] B-3 - 포렌식 / Powershell (121) | 2024.01.19 |
|---|---|
| [2022 화이트햇 콘테스트 본선] B-2 - 포렌식 / Sysmon View (131) | 2024.01.13 |
| [2022 화이트햇 콘테스트 본선] A-3 - 포렌식 / Powershell / REGA / Winprefetchview (74) | 2024.01.01 |
| [2022 화이트햇 콘테스트 본선] A-2 - 포렌식 / HxD / Powershell (86) | 2023.12.26 |
| [2022 화이트햇 콘테스트 본선] A-1 - 포렌식 / Sysmon View (85) | 2023.12.20 |