↑ 문제 사진
↑ 압축 해제한 prob 폴더
↑ yara_excute.py
yara_excute.py 파일을 좀 해석해 보면
filelist로는 prob파일에 들어있는 파일들이 나열되어있고 myfile에 6, 7, 8, 9, 10, 11, 13, 14가 있는데 문제에서 rule를 한줄을 적으라고 했으니 yara rule을 찾는 문제 인거 같습니다.
yara rule을 작성 하는 방법을 보니 저 filelist 1~16까지의 파일 중에서 my file만 해당하는 규칙을 찾아서 rule로 만드는 것 같습니다.
6, 7, 8, 9, 10, 11, 13, 14.exe 파일의 공통점을 한번 찾아 보면
1. 8.exe 과 13.exe의 파일 크기가 10240byte이다.
2. my file의 Hex를 보는 도중 공통점을 찾게 되었습니다.
이처럼 크기가 10240이 아닌 다른 my file들은 위와 같은 Hex가 같은 자리에 공통적으로 있었습니다.
그래서 규칙을 정리해 보자면!
크기가 10240인 파일
Hex에 3C 2C 3C 7F 78 4D ~~~~~~~ 52 69 63 68 78 4D 52 2C 가 포함되어있는 파일
위 2가지로 정리할수 있습니다.
그래서 yara rule을 작성해 보면 다음과 같습니다.
위의 yara rule을 한줄로 만들어서 nc로 보내면 다음과 같이 Flag가 나옵니다.
Flag : TRUST{I9n0re_PDB_R1CH_I'm_s0rry_TT}