Autoruns

이 문제를 푸는데 앞선 강의나 풀이를 안보고 풀어보려고 했는데.

레지스트리 쪽도 데이터 양이 많고, 난잡하게 구조가 이루어져있는 편이고,
응용프로그램이 만들어질 때마다 응용프로그램이 어느 레지스트리에 값을 넣을지도 매번 다르기 때문에
레지스트리를 한 번 정리해야겠다는 생각을 좀 했다

나중에 교육이 끝나고 공부한다면, 레지스트리랑 모바일 포렌식이랑 같이 해야겠네.

일단 이번 문제에 대해 알아보자.

지난번에 풀었던 Find USB 와 같은 이미지 파일을 분석하면 된다.

문제에서 찾아야하는건 USB 를 연결하여 어떠한 프로그램의 MD5 값이다.

여기서 exe 파일을 어떻게 찾아낼까 라고 생각하다가
문제에서 Windows 레지스트리를 분석해서 플래그를 찾아보라고했다.
그래서 부팅 시 시작되는 시작프로그램의 정보를 담아놓는 레지스트리를 찾아보려고 했다.

https://www.dukgun.com/2018/09/windows-10-start-program-delete-registry-edit.html

윈도우 10 시작프로그램 레지스트리 위치 (Program 삭제)

이 분의 포스팅을 보면 대략적인 경로를 알 수 있었는데,
여기에 나온 3가지의 경로를 모두 검토해보았다.

그렇게 나온 결과 중 의심가는 파일이 하나 있었다.

이 경로명에 해당하는 파일이다.
여기서 HKEY_CURRENT_USER 라는 레지스트리 루트키에 대한 하이브 파일이 어디있는지를 알아야한다.
요건 GPT 선생님께 물어보자.

C:\Users\<사용자 이름>\NTUSER.dat

해당 경로로 찾아가서 NTUSER.dat를 추출하여 레지스트리 분석 도구로 확인해보자.

C:\Users\victim\malware.exe 가 있다.
이게 정말로 계산기를 항상 실행시키는지는 직접 실행해보면 알겠지만,
뭔가 실행 시키기 껄끄럽다...

일단 MD5 값을 뽑고 플래그에 넣어보자.

해당 파일을 Export하고 PowerShell 의 get-filehash를 써서 뽑아내보자

이 값을 이제 플래그에 넣어주면 된다.

 

 

---

풀고나서 풀이를 다시 보니까
rla 라는 Registry Log Analysis 라는 도구를 이용하여 레지스트리의 .Log1, .Log2의 파일들과 합쳐서 전체 레지스트리 정보로 정리해주는 내용이 있었다.
그래서 추후에 rla 사용법, 명령어 옵션 등에 대해서 공부하고 포스팅해야할듯하다.

그리고 또 이번 문제도 MD5 해시값을 뽑아내는걸 Hash Calc 도구로 뽑으셔서 대문자->소문자로 바꿔줘야함....