DFC 2023 풀이_#103 - A suspicious develop

< 103 - A suspicious developer >

 

Description

The auditing department of a software development company received an internal whistleblower report stating that a developer from the development team had outsourced a project to another company for execution. The auditing department initiated an investigation to determine whether there had been a violation of internal labor and security regulations. In response, that developer claimed to have personally developed the project and submitted the program source files and the resulting executable files to the audit team as evidence. The auditing department obtained the previous deliverables (executable files) that the developer had submitted by retrieving them from company’s project management server. Verify the accuracy of the internal whistleblower’s claims.

 

소프트웨어 개발 회사의 감사 부서는 개발 팀의 개발자가 프로젝트 실행을 위해 다른 회사에 아웃소싱했다는 내부 내부 고발 보고서를 받았습니다. 감사부는 내부 노동 및 보안 규정을 위반했는지 여부를 확인하기 위해 조사에 착수했습니다. 이에 해당 개발자는 해당 프로젝트를 직접 개발했으며, 프로그램 소스 파일과 결과 실행 파일을 감사팀에 증거로 제출했다고 주장했습니다. 감사부서는 개발자가 제출한 이전 결과물(실행 파일)을 회사의 프로젝트 관리 서버에서 검색하여 얻었습니다. 내부고발자의 주장이 맞는지 확인한다.

 

Taget : Files.zip      / Hash(MD5) : 26B11C75AD1F469B35284A29D973B716C030C71B

 

Questions

 

1)  Write the items indicating the build tool version information stored in the given two PE format executable files in the format of “[ProductID].[BuildID].[Count]”. (80 points) - PE 파일에 저장된 빌드 도구 버전 정보 

-          Write 9 items per file and do so for both two files. (40 points each)

 

 

2)  Write the build folder paths for the given two executable files. (20 points) - PE 파일 빌드 폴더 경로

-          Write the build folder paths for both files. (10 points each)

FromDeveloper.exe - c:\users\dskm\documents\visual studio 2008\projects\dfc2023\release\dfc2023.pdb

FromBuildServer.exe - d:\businessdev\dfc_company\dfc2023\release\dfc2023.pdb

 

우선 반디집으로 해당 zip 파일을 압축해제 해주었다.

이렇게 exe 파일 두 개가 나왔다.

우선 첫 번째 문제는 두 개의 PE파일의 productID, BuildID, Count의 빌드 도구 버전 정보를 알아내는 문제다.

 

처음에 어떻게 하는지 잘 모르겠어서 PE 파일과 관련해 구글링을 해서 알아봐주었다.

그랬더니 rich 헤더라는 걸 알게 되었다.

저 블로그 글에서는 rich 헤더를 확인하니까 저렇게 빌드와 관련된 버전, id 등이 보였다.

아마... rich 헤더를 확인하는 tool을 이용해서 하는 것 같은데.. 저 블로그에선 richprint라는 걸 이용한 것 같다.

근데 richprint라는 걸 검색하니까 파이썬 모듈을 사용하는 것 같다.

근데 귀찮아서 혹시나 하는 마음에 원래 가지고 있는 툴인 PEstudio 툴을 이용해서 확인해주었다.

 

진짜 혹시나... 하고 확인했던 거기 때문에... rich 헤더와 관련된 정보는 들어있지 않았다...

그러나 경로와 관련된 건 있었다.

우선 developer 파일 먼저 경로를 확인해주었다.

2번 문제의 답은 developer.exe는 c:\users\dskm\documents\visual studio 2008\projects\dfc2023\release\dfc2023.pdb 이 된다.

buildserver.exe의 파일은 경로는 d:\businessdev\dfc_company\dfc2023\release\dfc2023.pdb 가 된다.

 

2번 문제를 풀었으니까 1번 문제를 다시 풀도록 하겠다.

아무래도... 그 파이썬 rich 모듈을 설치해야 하는 건가..? 

https://yolo-lolo.tistory.com/24 - 해당 링크를 참고하였다.

우선 pip install rich 명령어를 통해 rich 모듈을 설치해주었다.

 

여러 깃허브랑 블로그를 봤는데 richprint 사용법을 잘 모르겠어서...

1번 문제는 풀지 못했다...