Soluţie WFC 01
7Stimaţi cititori, pe măsură ce soseau, am citit soluţiile celor care au rezolvat problema propusă la WFC 01. Am fost impresionat de cunoştinţele demonstrate de rezolvările trimise prin formularul de contact.
Unii din rezolvitori au ales să folosească unelte deja existente pe INTERNET sub licenţă FREEWARE, iar alţii au ales să îşi programeze propriile unelte. Problema a fost rezolvată atât sub Windows cât şi sub Linux.
Unii rezolvitori au avut comentarii foarte haioase in soluţiile trimise, de genul :
• “Acestea fiind spuse rezultă faptul că trebuie sa stea mult la mititica şi oricât ii va da judecatorul, să i se tripleze deoarece aşa simt eu în acest moment după ce am stat 2 zile să descopăr !”
• „Fisierul excel si cel zip sunt criptate. Rezolvare: 10+ programe diverse de decriptare folosind brute force. 1 zi mai tarziu: Pentru o parola de 6 -14 caractere printabile : 123.987.102 days, 1976 hours, 7 minutes remaining… „
• „E într-adevăr foarte inteligent să salvezi parola într-un fişier :).”
• „Cu un al 6-lea simt am presimtit ca parola ar trebui sa se afle in unul din fisierele (de tip file) si am deschis cu Notepad++ fisierele: å!@#$)~2å007A995, å8F58A49 si å2079EB1 (al 6-lea simt nu a fost chiar prezent, ultimul din ele continand parola dorita)”
• /*de aici trag concluzia că muzicienii au nevoie de mai multe stimulente*/
• Ignor fișierul „Citeste” (poate e un virus teribil)
Rezolvările de tip “forensic” presupun atât experienţă cât şi cunoştinţe temeinice din aria IT (sisteme de fişiere, sisteme de operare, programare, networking). Fără experienţă şi cunoştinţe solide, este destul de greu să rezolvi o problemă de acest gen. Este ca şi cum ai fi pe o plajă pustie şi trebuie să spargi o nucă de cocos adusă de valuri folosind “nimic”.
Din experienţă, am învăţat că nu trebuie să “reinventez apa caldă”, adică nu are rost să programez o aplicaţie pentru a rezolva o problemă, dacă există deja unele sub licenţă FREEWARE pe INTERNET. Am fost confruntat cu situaţii în care a trebuit să realizez propriile aplicaţii, deoarece nu am găsit ceva potrivit pentru a le putea rezolva. Astfel, am fost confruntat cu problema limitării accesului cu dispozitive de tip memory stick pe sistemele de operare Microsoft Windows. Nu am găsit nimic
acceptabil sub licenţă FREEWARE. Din acest motiv, am realizat aplicaţia IOBlock – aplicaţie portabilă ce realizează acest lucru pe toate sistemele de operare Microsoft începând cu Windows 2000 şi terminând cu Windows 7. Am mai fost confruntat cu problema ştergerii sigure a fişierelor de pe dispozitivele memory-stick. Am realizat din nou o aplicaţie – FileRandomizer care realizeză acest lucru şi cu ajutorul căreia am şi “preparat” imaginea de dischetă din problema WFC 01.
Important este rezultatul şi punctajul pe care îl obţineţi în urma rezolvării. Soluţia propusă de mine foloseşte numai aplicaţii disponibile sub licenţă freeware pe INTERNET şi care rulează pe SO Microsoft Windows. Sunt convins de faptul că mulţi dintre dumneavoastră vor
folosi în viitor aceste aplicaţii.
Să începem:
1. Atunci când avem de analizat cantităţi relativ mici de informaţie este bine să încercăm să găsim eventuale indicii în format ASCII. Aplicaţia Strings.exe de la Sysinternals efectuează acest lucru. Cu
sintaxa :
Stings.exe image >ImageASCII.txt
se obţine în acelaşi director cu aplicaţia Strings.exe fişierul ImageASCII.txt. Analizând fişierul în două minute , descoperim următoarele grupări ASCII cu un oarecare înţeles:
Root Entry Workbook encryption DocumentSummaryInformation Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) C:\Program Files\Microsoft Office\Office10\EXCEL.EXE CompObj MSDOS5.0 NO NAME FAT12 3 NTLDR Remove disks or other media. Disk error Press any key to restart IONUTZ ICEE XLS NFO ZIP EXCEL.EXE Microsoft Excel Worksheet Biff8 Excel.Sheet.8 Info/Citeste
Exact la sfârşitul fişierului ImageASCII.txt găsim un şir foarte interesant ce trebuie notat: pw:w34&89j23.
2. Analizând informaţiile obţinute cu strings.exe, realizăm faptul că ne confruntăm cu un sistem de fişiere FAT 12, cu ceva Microsoft Excel, şi cu ceva arhivat în format zip. Avem nevoie de un recuperator de fişiere. Pentru acest scop am instalat utilitarul FREEWARE Priform Recuva 1.39 pe o maşină virtuală, în al cărei floppy am încărcat şi imaginea de dischetă. Rulând aplicaţia pe dischetă descoperim mai multe fişiere printre care şi _ICEE.xls şi Info.zip. Recuperăm cele două fişiere şi încercăm să le deschidem. Din păcate sunt criptate. Încercăm cu şirul obţinut mai devreme w34&89j23 şi spre fericirea noastră reuşim.
3. În fişierul Excel găsim următoarele informaţii:
Liceul Numar clienti Industrial nr. 1 9 Teroretic nr. 2 6 Liceul de muzica 10 Liceul energetic 2 Liceul de constructii 8
4. Prin dezarhivarea fişierului Info.zip obţinem trei fişiere:
• Citeşte – conţine textul : “Esti aproape de rezolvarea problemei de pe WorldIT.info”
• File1 – necunoscut
• File2 – necunoscut
5. Trebuie să găsim tipul celor două fişiere. O rezolvare rapidă este aplicaţia Trid.exe disponibilă gratuit pe INTERNET şi care oferă posibilitatea aflării tipului unui fişier:
Astfel pentru aflarea tipului pentru File1 folosim sintaxa:
Trid.exe File1 > File1Type.txt
Obţinem fişierul File1Type.txt care conţine următoarele informaţii:
TrID/32 – File Identifier v2.10 – (C) 2003-11 By M.Pontello
Definitions found: 4173
Analyzing…Collecting data from file: File1
54.2% (.DOC) Microsoft Word document (32000/1/3)
32.2% (.DOC) Microsoft Word document (old ver.) (19000/1/2)
13.5% (.) Generic OLE2 / Multistream Compound File (8000/1)
Avem un fişier MS Word. Îi adaugăm extensia .doc, îl deschidem şi descoperim nişte fluturaşi publicitari cu textul:
Vrei sa te simti bine Suna la 0742000001 Ionutz
Procedăm la fel pentru File2 şi obţinem File2Type cu următorul conţinut:
TrID/32 – File Identifier v2.10 – (C) 2003-11 By M.Pontello
Definitions found: 4173
Analyzing…Collecting data from file: File2
100.0% (.WAB) Outlook Express addressbook (16000/1)
Avem cu probabilitate de 100% un fişier Outlook Express. Îi adăugăm extensia şi îl importăm în Outlook Express. Obţinem următoarea listă de contacte:
Bebe, bebe@gsw.com, 0745000002 BigBrother, bb@ytr.us, 0765000002 Cami, cami@000.com , 074000001 Mimi, mimi@gfwe.com, 021000002 Nelu, nelutu@fer.com , 0746000001
6. Alte informaţii ce pot fi recuperate:
Fişierul _ICEE.xls a fost creat pe calculatorul denumit Acasa la data de 26 februarie 2011 ora 13:28:13 şi a fost salvat ultima dată de Ionutz.
Fişierul File1.doc a fost creat pe calculatorul denumit Acasa la data de 26 februarie 2011 ora 14:02:00, a fost modificat ultima oară la data de 26 februarie 2011 ora 14:02:58 şi a fost salvat ultima dată de Ionutz. Toate aceste informaţii pot fi aflate accesând File-> Properties din meniul MS Word sau Ms Excel.
A fost greu?
As fi vrut sa vad si o rezolvare pe linux 🙂
Sper ca in urmatoarele zile vom putea sa le publicam pe toate. Asta se va intampla pe forum. 🙂
Sunt multe rezolvari si pe Linux
DAAA..unul din comentariile haioase este …al meu :)). Nu mai conteaza ca nu am castigat :))…simplul fapt ca a aparut aici un comentariu care se voia a fi haios e tot ce imi trebuia. Merci WorldIT.
Asa este, ne-am distrat de minune cu acele comentarii lasate de voi. Cred ca asta a distrus monotonia din jurizari. :-)))
Promit ca voi avea grija…ca in urmatoarele raspunsuri sa pastrez acest ritm (asta daca ma duce mintea sa rezolv urmatoarele probleme :)) ).
Tot timpul, chiar daca incerci, si nu reusesti sa iei punctajul maxim, atata timp cat ai invatat ceva, e o victorie. Premiile sunt doar o motivatie suplimentara, care e infima in comparatie cu informatia. Eu pe asta m-am ghidat tot timpul. 🙂