Beskrivning

Jag har råkat få in ett skadligt program bland mina 1000 andra program jag har numrerade i en mapp på skrivbordet (är det inte så man borde organisera dem?), och istället för att försöka leta upp det skadliga programmet tänkte jag istället att jag helt enkelt startar allihopa och ser i systemloggarna vilket program det var som betedde sig skumt. Det var kanske inte en bra idé, särskilt eftersom jag inte vet hur man letar i loggarna… Kan du hjälpa till?

Flaggan är programmets namn (<siffror>.exe), utan sökväg, omgivet av cratectf{}. T.ex. cratectf{1.exe}.

Lösning

Till utmaningen finns filen event_logs.zip som innehåller två stycken Windows event-loggar, system.evtx och security.evtx.

Parsar vi dessa loggar med exempelvis evtx_dump så kan vi få XML versioner av loggarna och börja analysera dessa.

Kör vi grep ParentProcessName så hittar vi att ett av de programmen som startats har skapat en process.

security.xml:    <Data Name="ParentProcessName">C:\Users\Administrator\Desktop\program\756.exe</Data>

Detta innebär att det programmet som betedde sig skumt är 756.exe.

Flagga: cratectf{756.exe}