$ 포렌식 $/$ 포렌식 문제 풀이 $
-
Digital Forensic Challenge 2019 IR100$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 3. 28. 00:27
문제를 확인해 보면 다음과 같습니다. 문제를 기반으로 문제 풀이를 진행 하겠습니다. mft.zip 파일을 압축 해제 하면 $MFT 파일을 찾을 수 있습니다. $MFT 파일을 가시적으로 보기 쉽도록 .csv 파일로 변환 해주는 analyzeMFT.exe 툴이있습니다. MFT.csv로 변환했기 때문에 한번 $Recycle.bin 파일을 찾아 보겠습니다. 총 25개의 $Recycle.Bin 문자열이 포함된 Filename을 찾았습니다. 그중 가장 눈에 띄는 것이 $Recycle.Bin/7.exe 입니다. 기본적으로 $Recycle.Bin 폴더는 윈도우 운영체제에서 사용되는 휴지통을 의미 하는데, 사용자가 삭제를 했을 때 휴지통에 데이터가 들어가게 됩니다. 그렇게 되면 다음과 같은경로로 데이터가 들어가게 됩니다..
-
Digital Forensic Challenge 2019 MOI300 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 20:00
위의 사진에서는 풀이해야하는 항목들만 나와있지만 Desciption을 확인해 보면 제공된 증거는 무선 라우터의 SPI 플래시 메모리의 물리적 덤프 파일이라고 합니다. 풀이해야하는 내용은 다음과 같습니다. 1) 덤프 파일의 구조를 확인한다. ▪ 부트로더, 커널 및 파일 시스템. 2) 부트로더 기본주소를 찾으십시오. 3) 부팅 명령줄 인터페이스 입력 방법 식별 4) 부팅 명령줄 인터페이스 메뉴 설명 5) 웹 관리자 사용자 이름과 의심스러운 무선 라우터의 암호를 파악한다. 6) 무선 라우터에 등록된 WoL(Wake on LAN) 목록 1) 덤프 파일의 구조를 확인한다. 먼저 간단한 구조를 확인 하기 위해서 binwalk 를 이용하면 쉽게 확인이 가능합니다. bootloader 는 U-Boot이고 버전은 1.1..
-
Digital Forensic Challenge 2019 MOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 19:55
문제를 확인해 보면 위와 같이 160점, 20점, 20점으로 배점이 나누어져 있습니다. 또한 압축 파일을 확인해 보면 NAND_Dump.bin 이라는 파일이 존재 합니다. 이름이 NAND Dump 인것으로 보아 NAND Flash의 덤프 파일이지 않을까 생각을 해봅니다. Description을 확인해 보면 Set-top Box 의 덤프파일을 분석하는 것이 주된 목적이라고 합니다. Set-top Box 란? 대부분의 가정 집에 존재하는 제품으로, TV에 연결되어서 외부에서 들어오는 신호를 받아서 적절히 변환을 시키는 역할을 하는 장치로 전달 받은 신호를 TV로 출력해주는 장치를 이야기 합니다. Question은 아래와 같습니다. (1) 2개의 squashfs file system을 복구하기( Clear p..
-
Digital Forensic Challenge 2018 VOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 15. 21:56
문제를 보면 공격자가 악의 적으로 사용자 PC에 접속해서 볼륨을 암호화 하여 사용자의 비밀번호를 변경했다고 합니다. 메모리 덤프를 분석해서 암호화된 볼륨의 변경된 사용자 암호와 키를 가져와 이 사례를 해결하는 것이 문제입니다. 아래의 내용은 필수 적으로 작성해야합니다. - 사용자의 비밀번호를 메모리에 저장하고 사용자의 비밀번호를 얻는 원리에 대해서 설명한다. - 메모리에서 암호화된 볼륨의 암호를 해독할 수 있는 키를 얻는 과정과, 획득한 키와 키를 사용하여 볼륨을 해독하는 방법을 설명한다. 파일을 열어보면 아래와 같이 총2개의 파일이 존재 합니다. 하나는 메모리 덤프 파일인것 같고 Secret 파일은 어떤 파일인지 모르겠어서 file명령어를 이용해 봤습니다. file명령어를 사용한 결과 Disk File..
-
Digital Forensic Challenge 2018 AF100 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 3. 20:38
AF100 - Extract a password from the JPEG picture file 간단히 해석을 해보면 아래와 같습니다. 산업 기밀 누설 사건의 조사관이고, 조사하는동안 의심스러운 이메일을 받았는데 유출된 기밀을 포함한 여러 정보가 있었는데, 암호에 대한 정보가 없었으나 첨부파일이 존재 했었고, 해당 첨부 파일에 암호에 대한 정보가 있을 것이라 생각한 조사관은 포렌식 분석을 하려고 한다. 첨부된 파일은 아래와 같이 yuna2.jpg 라는 파일입니다. 해당 사진을 EXIFTOOL로 메타데이터 부분을 찾아 보면 아래와 같습니다. User Comment에 6gx{YVpR`J[#xZAb 라는 값이 있는데 사용자가 적어 둔 문자열 이기 때문에 나중에 필요할 것 같습니다. Thumbnail Image..
-
Digital Forensic Challenge 2019 ART100 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 17. 14:07
문제를 보면 이미지 디스크 안에 들어있는 프리패치 파일과 이벤트 추적 로그를 분석하는 것이 문제인것 같습니다. 일단 프리패치파일(Prefetch File) 과 이벤트 추적 로그(Event Trace)에 대해서 먼저 알아보겠습니다. 1. Prefetch File? 일반적으로 응용 프로그램의 페이지를 미리 로드 하여 시스템 성능을 높이는 기능을 하는 파일을 프리패치 파일(Prefetch File) 이라고 이야기 합니다. 실행 파일이 사용하는 특정 파일을 미리 저장 해서 윈도우 부팅시에 프리패치 파일을 모두 메모리에 로드시켜서 실행속도를 향상시킵니다. 캐시 관리자는 모든 파일 및 디렉터리를 모니터링하고 .pf파일로 매핑을 하는데 각 .pf는 실행의 마지막 시간. 실행 횟구 및 프로그램 날짜/시간 파일에서 사용..
-
Digital Forensic Challenge 2019 AF300 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 16. 17:40
결국에는 USB와 전자메일을 입수 했고 그걸 분석해서 정보를 입수 하는 것이 문제인것 같습니다. 이메일을 번역해 보면 다음과 같이 나옵니다. PDF 파일 찾고, 이전에 사용한 암호도 찾아야 하는 것 같습니다. E01 파일이므로 FTK Imager 를 이용하겠습니다. Information 폴더에서 1.pdf 를 발견했습니다. 1.pdf 는 삭제된 상태로 비밀번호가 걸려있으며, 2.pdf 도 비밀번호가 걸려있다. Bob presentation.zip 파일은 삭제된 상태이지만 사이즈가 0이여서 복구도 불가능 하다. binwalk 0280 를 해보면 End of Zip archive 문자열을 찾을 수 있습니다. binwalk 1312 를 해보면 맨 아래에 Zip archive data file 이 있습니다. 실..
-
Digital Forensic Challenge 2019 AF200 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 13. 12:57
AF200 문제로 저번 AF100 문제를 너무 재미잇게 풀어서 이번 문제도 기대가 됩니다! 문제를 이제 확인해 보겠습니다. what-is-Pooh-doing 이라는 파일의 확장자를 알아 보겠습니다. 7z 파일인 것을 알 수 있고, 압축 해제를 해보겠습니다. 하이브 파일(hve)과 하이브 로그 파일(hve.LOG1)이 있습니다. 하이브 파일은 레지스트리 뷰어로 확인 해 볼수 있기 때문에 Registry Explorer 툴을 이용해서 확인해 보겠습니다. 0xAF200 하위에 3개의 폴더가 존재 합니다. - Let's warm up. - One part was stored here. - Two parts were buried here. 먼저 0xAF200에 데이터가 있는지 보겠습니다. 아무런 데이터가 들어있지..