8日目。

[Day 8] Have a Holly, Jolly Byte!

What is the malware C2 server?

Hint にある通り、消された txt ファイルを復元する。Evidence Tree から DO_NOT_OPEN フォルダを探してその中にある削除された（アイコンにバツマークの付いた）secretchat.txt を 右クリック → Export Files で適当な場所に復元できる。

中身を開いてみると C2 サーバについての会話が見られる。

What is the file inside the deleted zip archive?

先ほどの txt ファイルと同じように、今度は JuicyTomaTOY.zip ファイルを復元する。復元された zip ファイルは展開しようとするとパスワードが求められるが、フォルダの中身を見るだけなら zip ファイルをダブルクリックするだけで見られるので、中にあるファイル名を答える。

What flag is hidden in one of the deleted PNG files?

DO_NOT_OPEN フォルダを離れて、root フォルダの中を見てみると削除された portrait.png ファイルがあるのがわかる。クリックすると File Content Viewer にバイナリが表示される（注: FTK Imager がクラッシュするので Hex モードで見ること）。Hint にある通り、Ctrl + f で検索を行うとフラグが見つかる。

What is the SHA1 hash of the physical drive and forensic image?

Evidence Tree の PHYSICALDRIVER2 を 右クリック → Verify Drive/Image でしばらく待つと SHA1 ハッシュが得られる。

解説

本文の Task Objectives を確認すると、その中の一つに "Verify the integrity of a drive/image used as evidence." とある。integrity とは情報セキュリティの3要素の中の一つである「完全性」を表している（改ざんされてないよね～的な）。したがって、流れとしては

1. 怪しい USB を見つけた
2. 中身を調べる（今回でいう序盤の問題）
3. やばいものが見つかる（今回でいうフラグ）
4. USB のでっち上げ防止として SHA1 を取る

となる（あってるのかこれ）。事件があったら刑事が現場で証拠をチャック付きの袋に入れるあれみたいなやつ。

感想

バイナリを見てフラグを探す。CTF やってるみたいだ。場合にもよるだろうけど、削除されたファイルが簡単に復元できてビビった。本記事の解説では偉そうにペラペラ書いたが実は integrity を完全に「統合」だと思って読んでた（統合は integration）。調べてみて「あ～3要素とかあったな～」と。

あとファービーみたいなキャラ、ちょっと不気味だよね。