解法

まず、flag.zipというファイルが渡されます。
fileコマンドではzipと認識される(はず）けれど、開こうにも開けない。
stringsコマンドでも@くらいしか出てこない。
そこで、バイナリエディタの出番です。

アスキー表示部分を見ると、0xAAで埋められた中に@で書かれたFLAGが出てきます。

FLAG

TDU{HEXEDIT!}

問題文

去年12月に問題を作成していたNomukenが背後から何者かによって刺された事件に関して、
犯行グループの一員とみられる人物を捕えることに成功した。

彼らは作戦をコードネームで呼び合い行動していたことは判明しているが、
未だ特定には至っていない。

コードネームが分かれば残りの犯人逮捕に繋がるかもしれない。
下記のリンクから押収された証拠品の一部を渡すので、何か手がかりを見つけてもらいたい。

解法

RawImageというファイルが渡されます。
拡張子はありませんが、ファイル名やfileコマンドの結果から、何らかのイメージデータだということが分かります。

イメージの中を見ると、一見画像ファイルとテキストファイルのみがあるように見えますが、
バイナリエディタや解析ツールを使用すると、削除されたフォルダとその中のpdfの存在が分かります。

pdfは完全なデータとして残っているので、保存するなどして中をみればFLAGが書いてあります。

余談

ちなみに、このイメージデータはminiSDカードのものでした。

FLAG

TDU{OIL_SARDINE}

問題文

今日のあなたの運勢は？　⇒おみくじでチェック！

解法

真面目に全部解説すると長くなってしまうので要点を。

Omikujiという実行ファイルが配布されます。
実行すると、運勢のダイアログと、フラッグなぞ知らん(意訳)というダイアログが出るのみで何も起きない（実際は起きているのですが）ので、IDA Pro/Demo等のソフトに突っ込みます。

IDAを使って見るなどすると、Win32APIの関数名がそのまま載っているので、関数名で調べることで大体の流れがつかめると思います。

始点のWinMainから下ると、引数の数と内容を比較し、2つに分岐しています。
引数が無い/間違っている場合は、自分自身に正しい引数を付けて　CreateProcessで別プロセスとして立ち上げています。

もう一方では、
・getenvでTEMPディレクトリのパスを取得
・10.0.2.128:12939へハッシュを送信
・帰ってきたファイルをTEMPディレクトリに保存
・CreateProcessで実行
していることが分かります。

実際にサーバにnc等で接続してハッシュを送信すると、またも実行ファイルが降ってくるので
今度はそちらを解析します。

見ると、起動して2分のSleepの後に先ほどとは別のハッシュを送信していることが分かるので、
10.0.2.128:12939に対してハッシュを送信するとFLAGが返ってきます。

余談

Omikuji.exeは取得したファイルはcsrss.exeとして保存され、実行されます。
本物のcsrss.exeはWindowsの必須プロセスであり、実際にも常にプロセスとして存在するため、これに偽装しているわけです。

また、実はこのニセcsrss、起動して2分後にサーバと通信した後は、自分自身を削除するようになっていました。

FLAG

TDU{MALWARE_SANKAKUWARE_SIKAKUWARE}