전체 글
-
Digital Forensic Challenge 2019 AF200 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 13. 12:57
AF200 문제로 저번 AF100 문제를 너무 재미잇게 풀어서 이번 문제도 기대가 됩니다! 문제를 이제 확인해 보겠습니다. what-is-Pooh-doing 이라는 파일의 확장자를 알아 보겠습니다. 7z 파일인 것을 알 수 있고, 압축 해제를 해보겠습니다. 하이브 파일(hve)과 하이브 로그 파일(hve.LOG1)이 있습니다. 하이브 파일은 레지스트리 뷰어로 확인 해 볼수 있기 때문에 Registry Explorer 툴을 이용해서 확인해 보겠습니다. 0xAF200 하위에 3개의 폴더가 존재 합니다. - Let's warm up. - One part was stored here. - Two parts were buried here. 먼저 0xAF200에 데이터가 있는지 보겠습니다. 아무런 데이터가 들어있지..
-
Digital Forensic Challenge 2019 AF100 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 12. 10:51
ZIP 파일에서 숨겨져 있는 데이터를 찾는 문제인것 같습니다. 일단 ZIP 파일이 어떻게 구동되는지 원리를 이해해 보겠습니다. * zip 파일을 실행하면 실행되는 순서는 대략적으로 아래와 같이 나타낼 수 있다. 1. 최초 실행시에 End of Central Directory로 이동. 2. End of Central Directory 에 있는 정보를 바탕으로 Central Directory 의 시작 위치로 이동합니다. 3. Central Directory 에서 정보를 읽고 End of Central Directory에서 Central Directory의 개수만큼 반복하여 End of Central Directory전까지 읽는다. 4. Central Directory에서 읽은 Local Header 위치로 ..
-
슈퍼패치 파일 분석(Superfetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 11. 11:19
Superfetch File 이란? 프리패치 파일(Prefetch File)의 문제점을 개선하기 위해서 만들어진 파일입니다. 프리패치 문제점 - 프리패치는 응용프로그램 실행 전 미리 메모리에 로딩하는 기술입니다. -> 메모리를 이용한 빠른 실행의 목적을 가진 파일 - 메모리의 한계로 인해서 메모리에 로딩된 프리패치 데이터는 페이질 파일로 이동하게 되었습니다. - 다시 응용프로그램 실행시 페이징 파일부터 로딩을 시작하기 때문에 성능 저하를 불러오게 됩니다. 위처럼 프리패치 파일(Prefetch File)에 있어서 문제점이 발생하게 되서 슈퍼패치 파일(Superfetch File)이 등장을 하게 됩니다. 슈퍼패치 파일(Superfetch File) 개선점 - 사용자의 프로그램 사용 패턴(얼마나 자주, 언제,..
-
CSV 파일을 SQLite Studio로 넣어서 확인하기$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 8. 20:55
CSV 파일은 Microsoft Execl 응용프로그램으로 열수 있는 파일입니다. Excel 파일 특성상 데이터가 많거나 한 셀에 방대한 데이터가 들어가게 되면 프로그램이 멈춘뒤 꺼지는 현상이 나타납니다. 그럴때 csv 파일을 SQLite Studio에 넣어서 깔끔한 View로 확인 할 수 있습니다. 먼저 SQLite Studio를 설치 해 보겠습니다. 설치 주소 : https://sqlitestudio.pl/index.rvt?act=download 프로그램을 실행한뒤 Database -> Add a Database 를 이용해서 db를 하나 만듭니다. Database를 확인해 보면 아래와 같습니다. Tables 에 아무것도 없기 때문에 테이블을 만들고 csv 파일을 import 할 예정입니다. table..
-
프리패치 파일 분석(Prefetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 18:47
해당 글에서의 부족한 부분과 내용을 추가하여 아래의 URL로 이동하였습니다! URL : blog.forensicresearch.kr/23 Prefetch File Structure Analysis 이번에 알아볼 구조는 프리패치 파일 입니다. 프리패치 파일이란? 시스템에서 실행된 응용프로그램을 분석할때 유용한 파일로, Windows 에서만 존재 하는 파일로 응용프로그램이 처음 사용되는 blog.forensicresearch.kr blog.forensicresearch.kr 블로그도 많이 사랑해 주세요!
-
Newbie CTF write up$ Capture The Flag $ 2019. 11. 7. 09:55
Misc Discord Flag : KorNewbie{W31C0m3_t0_0ffiC14l_D1$C05d} NC_MIC nc 연결하면 flag를 줍니다 Flag : KorNewbie{W3lC0m3_T0_K0RN3wB13_W4RG4M3!!!!!} Catch Me 문제를 열어보면 아래와 같습니다. 이런 배경에 검은 점들이 왔다갔다 합니다. gif 파일 인것으로 보아 여러개의 프레임이 겹쳐져서 만들어 졌을 것 이라 생각했고, 프레임 별로 추출해 주는 코드를 작성해 보았습니다. 아래와 같은 프레임 사진들이 나왔지만 중첩되서 나온것을 알 수 있습니다. 그래서 온라인 툴을 이용했습니다. https://ezgif.com/split/ezgif-3-4e6e77b33116.gif 첫번째 사진을 예시로 해서 flag 를 찾아..
-
Adam7 Algorithm Encoding을 이용한 PNG FILE Steganography Analysis$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:36
SECCON 2019 CTF 에서 아래와 같이 interlace 로 Adam7 Interlace 인 문제를 접했습니다. 그래서 Adam7 Interlace 와 관련된 알고리즘인 Adam7 Algorithm에 대해서 이야기 해보겠습니다. Adam7 Algorithm은 PNG Image 에서 사용 하는 Interlacing 알고리즘 중에 하나로 아래와 같은 7개의 sub image의 형식으로 이미지 출력이 진행됩니다. 이미지의 실질적인 데이터를 다루는 IDAT Chunk의 개수에 비례해서 위의 알고리즘이 몇번 반복 하는 지를 의미 합니다. SECCON 2019 CTF 문제에서는 총 8개의 IDAT Chunk 가 있었고 Chunk가 하나씩 많아 짐에 따라서 점점 구체적으로 픽셀이 입력되는 것을 확일 할 수 있..
-
Image 1bpp, 2bpp LSB Steganography$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:33
LSB (Least Significant Bit) 알고리즘 이란? (255, 255, 255) 11111111 LSB 해석 그대로 최하위 비트에 데이터를 은닉하는 스테가노 그래피 방법중 하나 입니다. 설명은 아래와 같습니다. 원본 사진 및 음원파일 즉, 멀티미디어 파일에 메시지를 은닉 시키는데 최 하위 비트인 가장 오른쪽 비트에 은닉을 시켜 둡니다. 그리고 은닉 시킨 데이터는 다시 아래와 같은 방식으로 추출합니다. 이번에는 1bpp , 2bpp 를 이용한 LSB Steganography 를 소개 해드리려고 합니다. bpp란? bit per pixel의 줄인말로 색을 표현 할 때 사용하는 단위 입니다. 기본적인 Image LSB Steganography를 1bpp LSB Steganography 라고 이야..