MNCTF 2018 新人奮闘II(マルウェア解析)
ハッシュ値、ファイルサイズは以下のように求めました。
# md5sum AD_OptimizationTool.exe
541427a9dbe43b10c05b856cdcdc5ba6 AD_OptimizationTool.exe
# sha1sum AD_OptimizationTool.exe
e0fa838e0f191f97c5dac7a831af60d750432017 AD_OptimizationTool.exe
# sha256sum AD_OptimizationTool.exe
f24f5629be2e0f821adb36fe4d47407937f5a318bf96ae3655b628f833040f29 AD_OptimizationTool.exe
# ll
-rw-r--r-- 1 root root 2048 7月 11 2018 AD_OptimizationTool.exe
コンパイル日時はプロパティから見える作成日時かな、と思ったのですが回答を貰えなかったので調べてみたら、、、PE情報を扱う専用のツールを使う必要があるとのことだったので、PEviewをインストールしました。
コンパイル日時が見つかりました!
インポート係数もみつかりました。
ちなみにstringsコマンドを実行してもインポート係数がみれました。
open
kernel32.dll
shell32.dll
user32.dll
ExitProcess
Sleep
ShellExecuteA
MessageBoxA
以下のように空欄を埋めると、フラグが得られます!