Q.악성문서의 MD5 해시는 무엇입니까? (대/소문자를 구분하지 않음)
악성 문서 / MD5 해시
악성문서가 뭘까 찾아봐야지?
우선 이번 문제에서 얻어낸것 * pst파일은 outlook에서 모든 정보를 저장하는 폴더에 사용되는 확장자임.
filescan을 통해서 pst 확장자 파일을 찾아 낼 수 있었고, 그 중에서 outlook 폴더에 있는
phillip.price@e-corp.biz.pst내용을 덤프해보자. 왜 이게 의심스러운지는 모르겠어
그냥 그렇대... 라고 하긴 좀 그러니, 나머지 파일들 검색해보면 그냥 원래 있는 파일더미들인거 같음.
아무튼 filescan을 통해 offset값을 알아 낼 수 있고, memdump -Q 옵션을 통해 파일을 찾아 낼 수 있음.
그럼 이제 중요한게 뭐냐면, 이 outlook 분석 도구를 또 깔아줘야함
1.git clone https://github.com/libyal/libpff.git
2. cd libpff/
3. ./synclibs.sh
3 apt-get install autoconf automake autopoint libtool pkg-config
4. ./autogen.sh
5. ./configure & make
6. cd pfftools/
7. pffexport 파일명 해주면,
pfftools 폴더 안에 Message 뭉텅이가 생성된 걸 확인 할 수 있음
11개 폴더가 생성이 되는,
그 중에서 마지막 11 디렉터리에서 attachments(첨부파일) 이 있고, doc 파일 확인이 가능함.
이거 virustotal에 올려서 확인해보면 악성파일인것 확인 가능함.
문제에서 파일의 이름이 아니라 md5값을 물어봤으니 md5sum 해주면 답 확인 가능