ftk imager로 열어보면 뭐가 많다..
[root] \Users\{USERNAME}\NTUSER.DAT
[root] \Windows\System32\config\DEFAULT
[root] \Windows\System32\config\SAM
[root] \Windows\System32\config\SECURITY
[root] \Windows\System32\config\SOFTWARE
[root] \Windows\System32\config\SYSTEM해당 경로의 파일들과 각 파일에 대한 LOG1, LOG2 파일 수집
Find the USB와 동일하게 수집하고 regisry_clean을 해준다
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunRegistry Explorer에서 해당 경로의 자동 실행 프로그램을 찾아야 함
해당 경로 외에도 다양한 경로에서 자동 실행 등록이 가능하지만 문제 조건에서 계산기 프로그램이 실행되는 것이 힌트
malware.exe를 추출하면 계산기 프로그램 실행함
ftk imager로 연 디스크 이미지에서 "C:\Users\victim\malware.exe" 경로에서 추출해 HashCalc로 구한 해시값이 답
md5 값으로 DH{302021d31f2d0bce01d7afc26bfe2ba2}가 답
'SWUFORCE > Write-up' 카테고리의 다른 글
| Find the USB (레지스트리 실습) (0) | 2026.05.12 |
|---|---|
| Corrupted Disk Image(파일시스템 실습) (0) | 2026.05.05 |
| VBR(파일시스템 실습) (0) | 2026.05.05 |
| Helfy image (0) | 2026.04.29 |
| hidden (0) | 2026.04.29 |