$ 포렌식 $
-
썸네일 포렌식(Thumbnail Forensics)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 7. 7. 20:59
썸네일(Thumbnail)은 큰 그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것이다. 썸네일은 다양한 응용프로그램에서 사용하고 있지만 사용자가 가장 쉽게 접할수 있는 썸네일은 윈도우 탐색기의 미리보기입니다. 위의 사진이 윈도우 xp 탐색기의 미리보기 입니다. 미리보기는 운영체제의 버전에 따라 조금씩 차이가 있지만 PDF, PPTX, DOCX, HTML, 그래픽 이미지 파일 등등을 지원합니다. 윈도우에서는 썸네일을 생성 후에 데이터 베이스 형식으로 보관합니다. db에 한번이라도 저장된 썸네일은 원본 사진 파일이 삭제가 되도 지워지지 않습니다. 따라서 사용자가 썸네일을 직접 지우지 않는한 썸네일은 데이터 베이스에 계속해서 남아있습니다. 썸네일은 운영체제의 버전에 따라서 크게 2가지..
-
E-discovery 전자증거개시제$ 포렌식 $/$ 포렌식 제도적 이론 $ 2019. 7. 2. 14:12
해외 토픽을 보면 E-discovery라는 단어가 많이 나오는데 E-discovery는 Electronic Discovery의 약자로 우리나라 에서는 전자증거개시제 또는 디지털증거개시제 라고 이야기를 합니다. 미국의 법률이 개정되면서 사용되기 시작했다. E-discovery를 시행하는 이유는 모든 소송자가 해당 증거물을 검토 할 수 있게 하여 공정한 재판을 하기 위해서 시행되었다. ESI에는 PC 문서, 이메일, 메신저 대화 내용 등이 모두 포함되어 있습니다. 소송에 관련된 어떠한 전자적인 자료도 해당 된다고 볼 수 있습니다. ESI를 증거로 제시할 때에는 무결성 또는 진정성, 신뢰성등이 보장되야한다. EDRM (Electronic Discovery Reference Model)에서 제시하는 전자증거개시..
-
Multimedia - black-hole$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 27. 15:49
해당 문제를 잘 읽어보면 다음과 같습니다. Flag 형식은 BITCTF{ }의 형태이며 Base64형식으로 된 암호화 구문을 넣었으니 복호화 해서 Flag 를 찾아라. 그렇다면 일단 BITCTF{ 는 최소한 base64 했을 것 입니다. BITCTF{ 를 base64로 인코딩 한 결과 위와 같은 문자열을 가지고 있을꺼라고 생각이 되기 때문에 해당 파일에 QklU 가 있는지 확인 해봐야 겠습니다. 오.. 있습니다. U를 제외 하고 Base64 디코딩을 하면 Flag가 나올 것입니다. Flag : BITCTF{S5 0014+81} 출처 : 디지털 포렌식 with CTF
-
Multimedia - Find Key(Image)$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 27. 14:02
해당 사진을 다운 받아서 윈도우에서 열어보면 다음과 같이 나옵니다. 배경의 타일 모양이 매우 규칙적으로 놓여져 있습니다. StegSolve.jar 에서 열어보면 다음과 같이 깔끔한 사진을 얻을 수 있습니다. 타일의 모양을 한번 살펴 보겠습니다. 반복적인 픽셀의 모양이 Flag를 강조하는 것처럼 보였습니다. 픽셀의 모양이 높이 6 가로 8로 되어 있습니다. 흰색을 0 검은색을 1 로 표현해 보면 01010011 00110100 01001110 01000011 01001000 00110000 으로 표현할 수 있습니다. 라고 출력이 됩니다. 해당 문자열을 md5 돌리면 Flag 값이 나옵니다. Flag : 975186cff0a2bfd07862175d40fa36ff 출처 : 디지털 포렌식 with CTF
-
Multimedia - d4rth는 더러운 방법을...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 27. 10:27
original.png 와 encrypted.png 파일 2개를 받았습니다. 하나는 원본 파일이고 하나는 암호화된 파일이라고 생각합니다. 파일의 크기가 살짝 다릅니다. 내부에 무언가가 다른거 같습니다 compare 명령어를 통해서 어떤 점이 다른지를 한번 확인해 보겠습니다. 왼쪽 위쪽에 픽셀이 다른 것으로 나옵니다. 파이썬 스크립트를 이용해서 어떤 부분이 픽셀이 다른지 한번 확인해 보겠습니다. 이러한 픽셀들이 쭉 나열되어 있습니다. 범위는 아래의 사진을 보면 알 수 있습니다. x는 0~48 즉, 49 y는 0~6 즉, 7 의 범위를 가지고 있습니다. 이제 이러한 픽셀정보를 가지고 픽셀이 다른 부분을 1 같은 부분을 0 으로 바꿔서 값을 한번 알아 보겠습니다. 출력 값을 확인해 보면 다음과 같습니다. Fl..