$ 포렌식 $
-
디렉터리 엔트리 분석 [Directory Entry Analysis]$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 7. 20. 12:06
디렉터리 엔트리는 Windows의 FAT 파일시스템에서 파일의 이름, 확장자, 위치, 크기등을 표현하기 위한 구조체입니다. 하나의 파일 및 디렉터리는 각각의 메타정보를 표현하기 위해 하나의 디렉터리 엔트리를 가집니다. FAT(File Allocation Table) 파일 시스템의 FAT 영역 뒤에 오는 루트 디렉터리을 살펴 보면 최상위 디렉터리에 존재하는 파일들의 디렉터리 엔트리를 확인할 수 있습니다. 파일의 메타 정보를 저장하는 디렉터리 엔트리의 구조는 32바이트 이며 구조는 아래와 같습니다. 위의 파일 구조를 바탕으로 실제 디스크 에서 확인해 보겠습니다. FAT File System Directory Entry - File Name 0x00 ~ 0x07 (8 byte)는 파일이름이 있는 필드 보통 A..
-
Multimedia - e_e$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 16:44
해당 파일을 받아보면 확장자가 없습니다. 그래서 파일 hex값을 한번 알아보면 FF D8 FF 로 시작하는 JPG 파일 Header signature가 있습니다. 확장자를 변경하면 다음과 같은 사진이 하나 나옵니다. 사진을 유심히 보면 무언가가 있습니다. ZmxhZ3tulWNldHJ5fQ 라는 문자열이 보입니다. 해당문자열은 base64 인코딩된 문자열이므로 복호화를 해보겠습니다. Flag : flag{n!cetry} 출처 : 디지털 포렌식 with CTF
-
Multimedia - flagception$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 16:43
문제파일을 열어보면 다음과 같은 사진이 들어있습니다. 해당 사진에 flagception을 해뒀다고 했으니까 한번 찾아 보겠습니다. flag를 찾던중 StegSolve 툴로 원본 사진에서 보이지 않던 픽셀을 확인하게 되었습니다. 저픽셀에 뭔가가 있을 것같은 생각이 들었습니다. 확대해서 확인해 보니 다음과 같았습니다. 하지만 저 검은 부분을 시작으로 오른쪽으로 확인해 봤을때는 7개의 픽셀뿐입니다. 우리가 찾아야 하는 문자열은 알파벳과 숫자 이기 때문에 최대 10진수의 값이 126 이어야 하기 때문에 오른쪽 하얀색을 8번째 픽셀로 두면 맨앞 값이 1이 되기 때문에 아래와 같이 맨 앞은 모두 하얀색으로 둬야 하는게 맞는것 같았습니다. 그래서 흰색은 0 검정색은 1로 두면 다음과 같은 값이 나옵니다. 이렇게 되어..
-
Multimedia - mystery1 - mystery2$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 16:42
문제 파일을 열어보면 사진 2개가 있습니다. 두 사진의 차이점을 다루는 문제인 것같습니다. 차이점을 연산하는 옵션인 difference 를 이용해서 명령어를 입력해 보겠습니다. 추출된 사진을 확인해 보겠습니다. Flag : easyctf{PRETTY_PIXEL_MATH} 출처 : 디지털 포렌식 with CTF 사진과 사진이 연산을 하는 방법은 difference 말고도 Multiply(곱하기), Divide(나누기), Plus(더하기), Minus(빼기) 와 같은 연산이 있습니다. ImageMagick에서 제공하는 수학적 계산법입니다.
-
Multimedia - pdf파일 암호를 잊어...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 16:41
문제의 파일을 보면 다음과 같이 다짜고짜 비밀번호가 필요하다고 이야기 합니다. 사전 공격으로 PDF 의 비밀번호를 알아내야 할 것 같습니다. 저는 아래 사이트에서 Password 사전을 다운 받았습니다. https://wiki.skullsecurity.org/Passwords pdfcrack 이라는 툴을 이용해서 다음과 같이 사전을 기반으로 Password를 찾습니다. 비밀번호는 elephant 였습니다. pdf에 들어가 보면 다음과 같은 화면이 나옵니다. 드래그를 해보면 아래쪽에 무언가가 있습니다. 한번확인해 보겠습니다. Flag : ABCTF{Damn_h4x0rz_always_bypassing_my_PDFs} 출처 : 디지털 포렌식 with CTF
-
Multimedia - 아나그램(Anagram) 할 사람?$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 16:38
문제 파일은 xls 파일로 엑셀 파일입니다. 엑셀파일을 열어서 데이터를 확인해 보면 다음과같이 각셀마다 숫자가 적혀있습니다. 매크로 기능을 한번 확인해 보겠습니다. Dolt 라는 이름으로 매크로가 하나 있습니다. 그냥 실행을 해도되지만 그전에 어떤 기능을 하는지 편집을 눌러서 프로시저를 한번 확인해 보겠습니다. 어떤 연산을 하는데 생성되는 파일의 이름이 fileXYZ.data 이고 경로는 USERPROFILE 로 되어있는것으로 보아 C:\User\{USER_NAME} 에 생성이 될 것 같습니다. 한번 실행을 시켜 보겠습니다. 예상 그대로 파일이 나왔으니 이제 어떤 파일인지 확인해 보겠습니다. ELF 파일입니다. 리눅스 실행파일 이기 때문에 리눅스에서 실행을 해보겠습니다. Flag : SharifCTF{5..