ctf-d.com GrrCON 2015 #1 ~ #2

저 파일을 다운받아 분석을 할건데여

 volatility와 string.exe를 이용하였습니다

제 바탕화면은 왜 onedrive에 들어가있을까요...?

volatility를 이용해 파일의 정보를 봤습니다

processlist를 보면 OUTLOOK.exe라는 파일이 눈에 띄는데여

이렇게 해서 만든 dmp파일을

string.exe를 이용해서 이렇게 txt파일로 만들어줍니다.

문제를 다시 읽어보면 메일이라고 되어있기 때문에 gmail.com을 검색해봤더니

여러개의 th3wh1t3r0s3@gmail.com가 나오구요 이어서

2번은 이메일로 첨부해서 보낸 파일 이름을 물어봤는데요

이건 keyformat이 xxx.exe라고 했으니 .exe를 검색해보았습니다.

그랬더니

 

AnyConnectInstaller.exe가 계속 들어가있는 것을 알 수 있습니다

그렇다면 두 문제의 키는 각각

th3wh1t3r0s3@gmail.com

와

AnyConnectInstaller.exe

가 됨을 알 수 있습니다