$ 포렌식 $
-
Disk - 도와주십시오, 누군가…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 4. 8. 01:38
문제를 해결하기 위해서 flag.torrent 파일을 HxD로 열어 보겠습니다. 이러한 데이터를 가지고 문제를 해결 해야 하는데 Hex 데이터에서 length 문자열을 확인 할 수 있습니다. 공유 파일 크기 : lengthi 28 e4 piece 조각의 크기 : lengthi 2 e6 위의 데이터를 기반으로 해서 "공유파일 크기" / "piece 조각 크기" = "piece 조각의 개수" 를 알 수 있습니다. piece 조각의 개수는 14개 인것을 확인 할 수 있습니다. 그리고 pieces280 를 보아 암호화 해서 전달하는 데이터의 크기는 280byte라는 것을 알 수 있습니다. 280바이트의 데이터를 확인해 보면 아래와 같습니다. 해당 데이터가 총 14조각이 되어야 하기 때문에 1조각당 20바이트 라..
-
Digital Forensic Challenge 2019 IR100$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 3. 28. 00:27
문제를 확인해 보면 다음과 같습니다. 문제를 기반으로 문제 풀이를 진행 하겠습니다. mft.zip 파일을 압축 해제 하면 $MFT 파일을 찾을 수 있습니다. $MFT 파일을 가시적으로 보기 쉽도록 .csv 파일로 변환 해주는 analyzeMFT.exe 툴이있습니다. MFT.csv로 변환했기 때문에 한번 $Recycle.bin 파일을 찾아 보겠습니다. 총 25개의 $Recycle.Bin 문자열이 포함된 Filename을 찾았습니다. 그중 가장 눈에 띄는 것이 $Recycle.Bin/7.exe 입니다. 기본적으로 $Recycle.Bin 폴더는 윈도우 운영체제에서 사용되는 휴지통을 의미 하는데, 사용자가 삭제를 했을 때 휴지통에 데이터가 들어가게 됩니다. 그렇게 되면 다음과 같은경로로 데이터가 들어가게 됩니다..
-
Memory - 귀사는 사이버 보안사건...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 3. 17. 22:06
먼저 어떤 프로그램의 memory dump파일인지 확인해 봐야 하는데 imageinfo 로 나오지 않습니다. 제가 현재 보유중인 profile list는 아래와 같습니다. 거의다 Windows 관련 profile 입니다. 아마도 리눅스 관련 운영체제 의 메모리 덤프 일것으로 예상이 됩니다. strings 명령어를 이용해서 어떤 운영체제의 문자열이 가장 많이 들어있는지 한번 확인해 보겠습니다. debian 운영체제인 것을 알 수 있습니다. debian 운영체제에는 버전이 존재하는데 버전마다 이름이 다 다릅니다. 위 사진 링크 : https://www.debian.org/releases/index.ko.html hamm, slink, potato, woody, sarge, etch, lenny, squeez..
-
Memory - GrrCON 2015 #28$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 3. 17. 22:03
앞서 dump파일에서 난독화를 해제한 결과값을 확인해 봤었습니다. 위의 경로인 C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ 에 어떤 파일이 있는지 확인해 보겠습니다. mftparser를 이용해서 위의 경로를 찾아보면 th3k3y.txt 파일을 찾을 수 있습니다. filescan을 이용해서 해당 파일의 가상 주소를 출력해 보겠습니다. 이제 출력된 0x000000006cb04d90을 dumpfiles 의 -Q 옵션으로 파일을 추출 해 보겠습니다. 추출된 파일을 확인해 보면 Base64 암호화 인코딩 된 문자열을 확인 할 수 있습니다. Flag : eNpzLypyzs/zyS9LLfYtCspPyi9xzEtxKzZIzkwt..
-
Memory - GrrCON 2015 #26$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:06
공격자가 교환 서버를 제어하는데 사용한 파일의 이름을 찾는 문제 이기 때문에 프로세스를 확인해 보겠습니다. w3wp.exe프로세스가 엄청 많이 존재 합니다. 그리고 w3wp.exe 하위에 cmd.exe 프로세스가 많이 돌고 있습니다. 그렇기 때문에 하위 프로세스인 cmd.exe 의 PID값인 9248을 dump를 떠보겠습니다. strings 명령어로 dump파일에서 추출해보겠습니다. 키 포맷인 .aspx 을 보면 .aspx 를 검색해 보겠습니다. error1.aspx 라는 코드가 있습니다. 파일의 내용이 난독화 되어있는데 해당 값을 난독화 해제 해보겠습니다 Site : https://www.strictly-software.com/unpacker#unpacker 난독화 해제를 진행해 보니 base64 인코..
-
Memory - GrrCON 2015 #24$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:04
POS에서 화이트 리스트로 정의된 악성코드를 물어보는 문제 입니다. 일단 악성코드 덤프떠둔것을 이용해서 문자열을 탐색해 보겠습니다. 에디터로 열어서 확인을 해보면 아래와 같습니다. 악성코드는 .exe 확장자를 가지고 있을 가능성이 크기 때문에 검색을 해보았는데 맨위의 실행파일을 제외하고 나머지는 프로세스에서 본 실행 파일들입니다. 화이트리스트로 정의된 악성코드는 allsafe_protector.exe 입니다. Flag : allsafe_protector.exe 출처 : 디지털 포렌식 with CTF