$ 포렌식 $
-
[DEFCON DFIR CTF 2019] Deadbox Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:00
Hello, my name is ... 문제를 해석해 보면 E01을 만든 심사관의 이름은? 이라는 문제입니다. Horcrux 폴더를 확인해 보면 다음과 같습니다. 확장자가 E01 ~ E14로 되어 있는 것으로 보아 이미지 파일이 Chain 압축이 된 것으로 생각됩니다. 그렇기 때문에 Horcrux.E01 파일과 Horcrux.E01.txt 파일이 핵심인 것 같습니다. Horcrux.E01.txt에서 E01을 만든 심사관 이름을 찾을 수 있었습니다. Flag : flag Who owns it? 해석을 해보면 해당 머신의 기본 사용자 이름은? 이라고 합니다. FTK Imager을 이용해서 한번 열어보겠습니다. Flag : flag Does it match? 문제를 해석해 보면 증거의 SHA1 해시가 무엇인가..
-
[DEFCON DFIR CTF 2019] DFA Crypto Challenge$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 10. 23:58
Are you ready for this? 문제를 해석해 보면 챔플레인 디지털포렌식 협회의 로고가 있다. 숨겨진 메시지를 해독할 수 있는가? 라는 문제 입니다. .png파일인것 으로 보아 스테가노 그래피 문제인것 같습니다. 사진을 확인해 보겠습니다. 여러 스테가노 그래피 관련 기법을 확인해 보았지만 아무런 성과`가 없었습니다. 사진에 70 6F 71 64 63 68 68 6E 라는 문자열이 있습니다. 한번 변환을 해보겠습니다. 결과는 poqdchhn입니다. 기본적인 Crypto Challenge 문제라 생각되서 rot13인 키를 13을 이용한 카이사르 암호학을 사용해 보겠습니다. 키가 13인 문자열은 cbdqpuua 입니다. 그러다가 게싱으로 푸는 문제인지 모르겠지만 대체 암호를 이용해서 암호학을 했을것..
-
Digital Forensic Chellenge 2018 IoT100$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 8. 20. 10:06
2018년에 열렸던 디지털포렌식챌린지(DFC) 대회에서 음성인식 스피커인 Amazon Echo Alexa를 분석 해보자. 주어진 데이터는 스마트폰에 연동된 앱에 관한 데이터입니다. 스피커와 연동된 기록을 분석하여 사용자가 어떠한 기록을 남겨 놓았는지 확인해 볼 것 입니다. 문제를 푸는 과정을 찾는 것이 아닌 남겨진 데이터에서 의미있는 데이터가 어떤 것인지에 대해서 찾아야 합니다. 시나리오를 한번 확인해 보겠습니다. 위의 번역본은 실제 2018 DFC - Amazon Echo Analysis 문제의 번역본이다. 위의 시나리오를 한번 보면 용의자의 집에서 스마트 스피커 Amazon Echo를 찾았고, 용의자로 부터 데이터를 획득했지만 Alexa 클라우드에서 모든 데이터를 삭제 했다. 압수한 안드로이드 기반의..
-
Multimedia - 내 음영을 확인해보십시오!…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 8. 13. 22:20
문제파일을 확인해 보면 픽셀들이 여러개 보이는 사진이 보입니다. 해당 사진의 픽셀의 값인 RGB가 모두 같아서 하나의 값을 기반으로 추출해서 코드를 작성해 보았습니다. 값을 확인해 보면 다음과 같습니다. base64 디코딩을 했을때 png 파일 시그니처 라는 것을 확인 할 수 있습니다. 디코딩한 값을 바로 파일입출력으로 출력해보겠습니다. 위와 같은 코드를 이용해서 flag를 출력할 수 있습니다. Flag : tjctf{asc11_c0l0r_inc3pt1on} 출처 : 디지털 포렌식 with CTF
-
Multimedia - 스타워즈 시간이 돌아왔다!$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 8. 13. 22:19
문제를 확인해 보면 다음과 같은 사진이 들어있습니다. 기존의 일반 적인 스테가노 그래피를 해도 알수 없었습니다. 그림의 도트 위치와 RGB값을 바탕으로 코드 역할을 하는 piet 언어가 있다는 것을 알수 있었습니다. https://www.bertnase.de/npiet/npiet-execute.php 위의 URL 은 piet언어의 온라인 인터프리터 입니다. 사진을올리고 추출된 문자열을 확인해 보면 다음과 같습니다. 추출된 문자열의 맨끝을 확인해 보면 다음과 같이 == 인것 으로 보아 base64 encoding된 문자열인것 같습니다. RCdgJHFwIkp9fXtGeXk2L2V0MmJOTkwnLGwqaignZ2dle0FjP2A8eykoeHdZb3Rzcmsxb1FQbGtkKilKSWVkY2JbIUJYV1Zb..
-
Network - DefCoN#21 #1$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 27. 20:34
문제를 확인해 보면 회의하는 요일을 찾으면 되는 문제 입니다. IRC 프로토콜을 이용해서 통신한 흔적이 보입니다. TCP Stream 을 확인해 보겠습니다. 해당 값은 html인코딩이 된 문자열이 눈에 보입니다. 다음 사이트에서 복호화를 해보겠습니다. https://www.url-encode-decode.com/ 수요일 어때? 좋아 :) 몇시에 볼까? 아 2시 좋아. 빨리 만나고 싶어 Flag : Wednesday 출처 : 디지털 포렌식 with CTF
-
Network - DefCoN#21 #2$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 27. 20:09
문제를 확인해 보겠습니다. 많은양의 통신 정보가 있습니다. 많은 양의 패킷이 이동된 포트를 확인해 보겠습니다. 1024포트에 방대한 양의 패킷이 오고가기 때문에 TCP Stream를 보면 암호화가 당연히 되어있다는 것을 알 수 있습니다. 카빙과 정렬을 한번에 할 수 있는 network miner 를 이용해서 통신에 사용한 문자열을 확인해 보겠습니다. 저기에 password가 있습니다. password : S3cr3tVV34p0n 그리고 다른 메시지를 보면... DCC SEND r3nd3zv0us 2887582002 1024 819200 이런 문자열을 확인 할 수 있습니다. DCC SEND란? 단말기 대 단말기 통신을 위해 사용되는 프로토콜입니다. file name : r3nd3zv0us ip : 2887..
-
Multimedia - 타이틀 참조$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 25. 12:47
문제의 파일을 확인해 보면 프레임 마다 QRcode가 달라지는 것을 확인 할 수 있습니다. 총 몇개의 프레임이 있는지 확인 하기 위해서 Animated GIF Frame Extractor 툴을 이용해서 한번 확인해 보겠습니다. https://www.softpedia.com/get/Multimedia/Graphic/Graphic-Others/Animated-Gif-Frame-Extractor.shtml 총 88개의 프레임이 추출되는 것을 확인 할 수 있었습니다. 해당 QRcode 값이 어떤지 확인 하기 위해서 python 코드를 작성해 보겠습니다. 해당 코드에서 저는 매번 다른 QRcode 모듈을 사용했지만 이번에는 zbarlight 모듈을 사용해보려고 합니다. => python2를 써야 하기 때문에 리눅..