Недавний саммит пользователей Magnet DFIR CTF Challenge был обнародован. Я также воспользовался этой возможностью, чтобы ознакомиться с программным обеспечением Magnet AXIOM.
Ссылка на CTF: https://mus2019.ctfd.io/
Прочие разделы:
— Мобильный
— Активность
— Десктоп
Секретный проект
Если вы осмотрели изображение рабочего стола, возможно, вы заметили рабочий стол пользователя Selma.
2 виртуальных hd-файла выглядели так, как будто они были хорошей зацепкой. SecretStuff.vhd был удален, но EvenMoreSecretStuff.vhd можно извлечь, но он выглядит зашифрованным.
У нас также есть пароль для битлокатора от HOLY COW BATMAN! в мобильной части. Вы можете либо использовать AXOIM для добавления другого источника доказательств, либо смонтировать его через diskpart или diskmgmt.
Введя пароль от битлокера, «protectedbyjubjub» и смонтировав диск, мы получаем несколько папок и что-то вроде zip-файла в корзине.
Если у вас есть опыт судебной экспертизы корзины, файл $IXXXXXX содержит имя файла для соответствующего файла $RXXXXXX.
Кажется, мы нашли что-то хорошее!
Этот двоичный файл, по-видимому, является тем, на что ссылается «секретный проект», который дает нам достаточно, чтобы начать испытания.
Какой язык 5
Какой язык использовался для создания исполняемого файла секретных проектов?
Ответ: Питон
Когда я запускал строки в exe, чтобы увидеть, есть ли какие-либо подсказки, там были ссылки на множество модулей Python. Я набрал «py», чтобы найти дополнительную информацию.
Какая версия 5
Какая версия Python используется для скомпилированного двоичного файла? (формат: Н.Н.)
Ответ: 2,7
Похоже, загружается файл dll со ссылкой на общую версию python 2.7.
Какой инструмент компиляции 5
Какой инструмент использовался для создания скомпилированного исполняемого файла?
Ответ: PyInstaller
См. вывод строк выше.
Архитектура процессора 5
Какова архитектура процессора скомпилированного двоичного файла?
Ответ: амд64
file at-5000.exe at-5000.exe: PE32+ executable (console) x86–64, for MS Windows
Немного поискав декомпилируемые исполняемые файлы PyInstaller, я обнаружил, что один из любимых реверс-инженеров, @hasherezade, опубликовал статью о похожем сценарии: https://hshrzd.wordpress.com/2018/01/26/solving-a -pyinstaller-скомпилированный-crackme/.
Следуя инструкциям, я декомпилировал exe в исходный код Python.
Теперь у нас есть исходный код, остальные вопросы были относительно легкими!
Повторно набрать 10
Какой номер повторно набирает at-5000?
Ответ: 5558904
Цикл в коде проверяет, принадлежит ли номер Неду Фландерсу, если он верен, то пропускает функцию приращения номера и вспоминает.
Повторный набор ассоциации 10
Кто связан с номером, который набирается повторно?
Ответ: Нед Фландерс.
См. выше.
Время звонка 10
Сколько времени (в секундах) AT-5000 ожидает между наборами номеров?
Ответ: 0,01
Импорт 15
Какие две библиотеки импортирует at-5000?
Ответ: случайное время
Макс звонит 15
Какое максимальное количество звонков может сделать AT-5000?
Ответ: 10000000
Должен устроить огромное шоу @hasherezade, которая сделала этот раздел кусочком пирога со своими потрясающими уроками по обратному инжинирингу.
@zdayone1