전체 글
-
블로그 글이 뜸한 이유..!카테고리 없음 2020. 4. 12. 00:35
요즘 whitesnake1004.tistory.com 블로그 에다가 글을 올리는 것이 좀 뜸해 졌습니다. 블로그 글은 계속해서 작성하고 있는데 업로드가 뜸한 이유는 아래와 같습니다. - 주분야인 포렌식을 주로 공부하고 있습니다. - 포렌식을 공부하다 보니까 whitesnake1004.tistory.com 가 아닌 blog.forensicresearch.kr 에다가 업로드를 쭉 하고 있습니다.. 다른 분야도 계속 공부 하고 있지만 양쪽 블로그를 같이 올리다 보니 업로드가 양쪽으로 올라가서 뜸해질 수도 있으니 양해해 주시면 감사하겠습니다.! 매일 300명이상의 많으신 분들이 찾아와 주시는것 같습니다. 매번 찾아와 주셔서 감사합니다..!! 앞으로 더 좋은 글을 쓰도록 열심히 하겠습니다!!
-
Disk - 도와주십시오, 누군가…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 4. 8. 01:38
문제를 해결하기 위해서 flag.torrent 파일을 HxD로 열어 보겠습니다. 이러한 데이터를 가지고 문제를 해결 해야 하는데 Hex 데이터에서 length 문자열을 확인 할 수 있습니다. 공유 파일 크기 : lengthi 28 e4 piece 조각의 크기 : lengthi 2 e6 위의 데이터를 기반으로 해서 "공유파일 크기" / "piece 조각 크기" = "piece 조각의 개수" 를 알 수 있습니다. piece 조각의 개수는 14개 인것을 확인 할 수 있습니다. 그리고 pieces280 를 보아 암호화 해서 전달하는 데이터의 크기는 280byte라는 것을 알 수 있습니다. 280바이트의 데이터를 확인해 보면 아래와 같습니다. 해당 데이터가 총 14조각이 되어야 하기 때문에 1조각당 20바이트 라..
-
Digital Forensic Challenge 2019 IR100$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 3. 28. 00:27
문제를 확인해 보면 다음과 같습니다. 문제를 기반으로 문제 풀이를 진행 하겠습니다. mft.zip 파일을 압축 해제 하면 $MFT 파일을 찾을 수 있습니다. $MFT 파일을 가시적으로 보기 쉽도록 .csv 파일로 변환 해주는 analyzeMFT.exe 툴이있습니다. MFT.csv로 변환했기 때문에 한번 $Recycle.bin 파일을 찾아 보겠습니다. 총 25개의 $Recycle.Bin 문자열이 포함된 Filename을 찾았습니다. 그중 가장 눈에 띄는 것이 $Recycle.Bin/7.exe 입니다. 기본적으로 $Recycle.Bin 폴더는 윈도우 운영체제에서 사용되는 휴지통을 의미 하는데, 사용자가 삭제를 했을 때 휴지통에 데이터가 들어가게 됩니다. 그렇게 되면 다음과 같은경로로 데이터가 들어가게 됩니다..
-
Securinets-2K20 PreQuals CTF write up$ Capture The Flag $ 2020. 3. 23. 13:02
해당 이미지 메모리 덤프 파일을 대상으로 imageinfo를 진행해 보겠습니다. Win7SP1x86을 이용해 보겠습니다. filescan 플러그인을 이용해서 파일을 확인해 보면 눈에 띄는 파일이 있습니다. 사용자는 바탕화면을 자주 사용하기 때문에 경로를 살펴 보면 \Device\HarddiskVolume2\Users\studio\Desktop 였습니다. 아래와 같이 검색해 보면 아래와 같이 수상한 파일 2개를 확인 할 수 있습니다. steghide 와 DS0394.jpg 파일이 있기 때문에 해당 이미지 파일을 추출해서 steghide를 이용해서 은닉된 데이터를 추출해야 할 것 같습니다. 사진을 확인해 보면 오른쪽 아래에 2019/08/29 라고 되어 있습니다. 이제 steghide 에 사용할 비밀 번호를..
-
SuSeC CTF 2020 write up$ Capture The Flag $ 2020. 3. 23. 10:54
Forensic Little 해당 문제의 첨부 파일을 확인해 보면 아래와 같이 little.img_hash값 파일에서 little.img 파일을 추출 할 수 있습니다. little.img 파일을 HxD 로 열어보면 mkfs.fat 파일 시스템의 VBR을 확인 할 수 있습니다. 이제 해당 파일이 디스크 이미지 파일이라는 것을 알 수 있기 때문에 FTK Imager 로 열어 볼 수 있습니다. secondf.png 파일이 있는 것을 알 수 있습니다. 해당 파일을 확인해 보면 중간 Flag를 알 수있습니다. Flag2 : t0_7h3_3nd_0f_ 를 찾았습니다. 이제 나머지 Flag를 찾아야 하는데 FTK Imager 에서 확인 할 수 없습니다. 또한 binwalk를 통해서도 파일 카빙이 되지 않습니다. li..
-
Memory - 귀사는 사이버 보안사건...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 3. 17. 22:06
먼저 어떤 프로그램의 memory dump파일인지 확인해 봐야 하는데 imageinfo 로 나오지 않습니다. 제가 현재 보유중인 profile list는 아래와 같습니다. 거의다 Windows 관련 profile 입니다. 아마도 리눅스 관련 운영체제 의 메모리 덤프 일것으로 예상이 됩니다. strings 명령어를 이용해서 어떤 운영체제의 문자열이 가장 많이 들어있는지 한번 확인해 보겠습니다. debian 운영체제인 것을 알 수 있습니다. debian 운영체제에는 버전이 존재하는데 버전마다 이름이 다 다릅니다. 위 사진 링크 : https://www.debian.org/releases/index.ko.html hamm, slink, potato, woody, sarge, etch, lenny, squeez..
-
Memory - GrrCON 2015 #28$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 3. 17. 22:03
앞서 dump파일에서 난독화를 해제한 결과값을 확인해 봤었습니다. 위의 경로인 C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ 에 어떤 파일이 있는지 확인해 보겠습니다. mftparser를 이용해서 위의 경로를 찾아보면 th3k3y.txt 파일을 찾을 수 있습니다. filescan을 이용해서 해당 파일의 가상 주소를 출력해 보겠습니다. 이제 출력된 0x000000006cb04d90을 dumpfiles 의 -Q 옵션으로 파일을 추출 해 보겠습니다. 추출된 파일을 확인해 보면 Base64 암호화 인코딩 된 문자열을 확인 할 수 있습니다. Flag : eNpzLypyzs/zyS9LLfYtCspPyi9xzEtxKzZIzkwt..