Рецензия: Саммит пользователей Magnet DFIR CTF 2019-секретный проект

Недавний саммит пользователей Magnet DFIR CTF Challenge был обнародован. Я также воспользовался этой возможностью, чтобы ознакомиться с программным обеспечением Magnet AXIOM.

Ссылка на CTF: https://mus2019.ctfd.io/
Прочие разделы:
— Мобильный
— Активность
— Десктоп

Секретный проект

Если вы осмотрели изображение рабочего стола, возможно, вы заметили рабочий стол пользователя Selma.

2 виртуальных hd-файла выглядели так, как будто они были хорошей зацепкой. SecretStuff.vhd был удален, но EvenMoreSecretStuff.vhd можно извлечь, но он выглядит зашифрованным.

У нас также есть пароль для битлокатора от HOLY COW BATMAN! в мобильной части. Вы можете либо использовать AXOIM для добавления другого источника доказательств, либо смонтировать его через diskpart или diskmgmt.

Введя пароль от битлокера, «protectedbyjubjub» и смонтировав диск, мы получаем несколько папок и что-то вроде zip-файла в корзине.

Если у вас есть опыт судебной экспертизы корзины, файл $IXXXXXX содержит имя файла для соответствующего файла $RXXXXXX.

Кажется, мы нашли что-то хорошее!

Этот двоичный файл, по-видимому, является тем, на что ссылается «секретный проект», который дает нам достаточно, чтобы начать испытания.

Какой язык 5

Какой язык использовался для создания исполняемого файла секретных проектов?

Ответ: Питон

Когда я запускал строки в exe, чтобы увидеть, есть ли какие-либо подсказки, там были ссылки на множество модулей Python. Я набрал «py», чтобы найти дополнительную информацию.

Какая версия 5

Какая версия Python используется для скомпилированного двоичного файла? (формат: Н.Н.)

Ответ: 2,7

Похоже, загружается файл dll со ссылкой на общую версию python 2.7.

Какой инструмент компиляции 5

Какой инструмент использовался для создания скомпилированного исполняемого файла?

Ответ: PyInstaller

См. вывод строк выше.

Архитектура процессора 5

Какова архитектура процессора скомпилированного двоичного файла?

Ответ: амд64

file at-5000.exe
at-5000.exe: PE32+ executable (console) x86–64, for MS Windows

Немного поискав декомпилируемые исполняемые файлы PyInstaller, я обнаружил, что один из любимых реверс-инженеров, @hasherezade, опубликовал статью о похожем сценарии: https://hshrzd.wordpress.com/2018/01/26/solving-a -pyinstaller-скомпилированный-crackme/.

Следуя инструкциям, я декомпилировал exe в исходный код Python.

Теперь у нас есть исходный код, остальные вопросы были относительно легкими!

Повторно набрать 10

Какой номер повторно набирает at-5000?

Ответ: 5558904

Цикл в коде проверяет, принадлежит ли номер Неду Фландерсу, если он верен, то пропускает функцию приращения номера и вспоминает.

Повторный набор ассоциации 10

Кто связан с номером, который набирается повторно?

Ответ: Нед Фландерс.

См. выше.

Время звонка 10

Сколько времени (в секундах) AT-5000 ожидает между наборами номеров?

Ответ: 0,01

Импорт 15

Какие две библиотеки импортирует at-5000?

Ответ: случайное время

Макс звонит 15

Какое максимальное количество звонков может сделать AT-5000?

Ответ: 10000000

Должен устроить огромное шоу @hasherezade, которая сделала этот раздел кусочком пирога со своими потрясающими уроками по обратному инжинирингу.

@zdayone1