[SKS!/Forensics] 1주차 | Friday 문제 1 Suninatas 29

 

1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.

 

네이버에만 접속하면 사이버 경찰청 차단 화면으로 넘어 간다? ->  IP 주소와 도메인 주소를 매핑해주는 파일인 hosts를 살펴 봐야 할 것 같다. 

 

확인해 본 결과, 사이버 경찰청 차단 화면창이 확인이 된다.

 

hotts 파일을 찾아 보면 key 값이 보이지 않는다. 음.. 

 

혹시 모르니깐 숨겨진 파일이 있는지 확인해 보았다. 

 

또 다른 hosts 파일이 확인 됐다. 이 txt 파일에서 key 값을 찾을 수 있었다.

 

: 💡  what_the_he11_1s_keeyc

2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자) - ex) c:\windows\notepad.exe

 

설치 된 키로커를 확인하기 위해서 프로세스를 살펴 보려고 했지만... 작업관리자를 사용 못하게 설정 되어 있다. 

작업 관리자 제한 설정 해제 방법[출처]  

 

 

구글링 후 레지스트리 편집기 통해 설정하면 된다. 정리 하자면, 

 

1. regedit.exe 를 실행한다.

2. DisableTaskMgr 를 검색한다.

3. 데이터 값을 0 으로 변경한다.

4. regedit.exe. 를 종료한다.

 

아래와 같이 작업 관리자가 다시 실행 된다. 

 

 

우클릭 해서 파일 위치 경로 확인 하면 된다.  

 

 

: 💡 C:\v196vv8\v1tvr0.exe

 

3. 키로거가 다운로드 된 시간은?  - ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss)

 

앞서 확인한 경로에서 파일을 확인해 보면 2016-05-24_04_26_09로 확인이 된다. 

다른 방법으로 index.dat Analyzer를 다운로드해서 keylogger로 찾아보니 2016-05-24_04_26_06를 확인이 되는데... 둘 다 확인을 해본 결과 2016-05-24_04_26_06이 맞는 답이다. 

 

: 💡 2016-05-24_04_26_06

4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.

 

 앞서 확인 경로해서 s1.dat과 w1.dat라는 파일이 존재한다. s1.dat는 키보드 입력 기록(키로그)의 전송 내역을 담고 있으며, w1.dat는 후킹된(인터셉트된) 문자열을 포함하고 있다. 

 

: 💡 "blackkey is a Good man"

인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키)) MD5

what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man