$ 포렌식 $/$ 디지털 포렌식 with CTF $
-
Multimedia - 저는 애니메이션을 좋아하는…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:42
다운로드된 파일을 확인해 보면 아래와 같이 파일이 손상되어 있는것처럼 보입니다. 하지만 Hint 2 를 보면 손상된게 아니라고 이야기 하고 있습니다. 구글에 원본 사진을 한번 찾아보면 아래의 경로에 원본 사진이 있습니다. https://pp.vk.me/c625217/v625217819/1eec5/5WzbbhtpMkQ.jpg 원본 파일과 비교를 해보면 hex값이 아래와 같습니다. 두개의 파일을 비교햇을때 0x44 0x45 와 같이 1차이로 차이가 납니다. 2개의 파일을 hex가 다른 값의 차이가 1이기 때문에 똑같은 index에 존재하는 값의 차이를 결과로 출력하는 파이썬 코드를 작성하겠습니다. 하이라이트된 부분의 길이는 240으로 값을 8씩끊으면 문자열로 표시할 수 있습니다. 출력을 해보면 flag를 찾..
-
Multimedia - Recover the key$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:39
문제 파일을 보면 아래와 같이 DOS/MBR boot sector 라고 적혀 있습니다. 디스크 이미지 파일로 판단 되서 FTK Imager 를 이용해서 열어 보겠습니다. FAT16 File 인것을 알 수 있고, !2469 , !8149, !8808 파일들을 보면 jpg파일임에도 불구하고 헤더 시그니처가 깨져 있습니다. 3개의 파일을 추출해서 그중하나의 hex를 확인해 보면 아래와 같습니다. FF D8 FF E0 시그니처 인데 FF D8 부분이 깨져 있습니다. 그렇기 때문에 추가 해서 보면 아래와 같습니다. 사진들이 있는데, 문제에서 key를 ddtek 로 적혀 있는 것으로 보아 steghide 또는 outguess 툴을 이용해서 복호화를 해보겠습니다. 그중에 !2467.jpg에서 outguess 툴을 이..
-
Memory - GrrCON 2015 #13$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:36
nbt.txt 라는 파일로 저장을 했다고 하니 해당 파일을 dump떠서 내용을 확인해 보면 될것 같습니다. 하지만.. nbt.txt 라는 파일이 없다고 출력이 됩니다. 해당 GrrCON 2015 문제를 살펴 보니 nbs.txt 인것으로 확인이 됩니다... 오탈자 인것 같습니다. 풀이하시는 분들은 참고해 주시면 될것 같습니다. nbs.txt 로 검색을 해보면 아래와 같습니다. 해당 파일을 dump 떠보겠습니다. 파일을 열어보면 아래와 같이 IP가 적혀 있습니다. Flag : 10.1.1.2 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #11$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:34
문제를 확인해 보면 평문으로 암호를 저장하는데 저번 문제에서 언급했던 옮겼던 툴 3개중에서 하나를사용해서 dump를 했다고 합니다. 그렇다면 해당 3개의 실행 프로그램이 어떤 역할을 하는 프로그램인지 확인해 보겠습니다. 위의 3가지중 해당 문제에서 평문 암호와 관련된 이야기가 언급 되어 있기 때문에 wce.exe 프로그램과 관련이 있다고 할 수 있습니다. wce.exe 프로그램은 아래와 같이 사용하게 됩니다. 그렇기 때문에 cmd로 입력을 했을 가능성이 매우 큽니다. volatility 플러그인 중에서 cmdscan 을 이용해 보겠습니다. wce.exe -w > w.tmp 라는 명령어를 이용한것으로 보아 wce.exe 의 결과가 w.tmp에 저장 되어 있다는 것을 알 수 있습니다. 0x000000003e..
-
Memory - GrrCON 2015 #10$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:33
PC를 손상 시키기 위해 일부 도구를 옮겼다고 하면서 해당 도구의 이름을 알파벳순으로 나열하고, g로 시작하는 실행파일은 제외 시키는 문제입니다. 이번 문제에서도 악성코드를 이용한 C&C 공격과 연관이 있어 보이기 때문에 iexplore.exe 의 dump를 string으로 추출해서 .exe 가 붙은 문자열을 찾아 보겠습니다. txt 파일에서 .exe 파일을 찾으면 아래와 같이 수상한 파일들이 존재 합니다. g로 시작하는 getlsasrvaddr.exe 를 제외하고 Rar.exe , wce.exe, nbtscan.exe 가 답이지만 알파벳 순으로 나열해야 합니다. Flag : nbtscan.exe, Rar.exe, wce.exe 출처 : 디지털 포렌식 with CTF