$ 포렌식 $
-
Multimedia - splitted$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 10. 15:49
파일을 다운 받아보면 .pcap 파일이 하나 있습니다. 파일을 와이어샤크로 열어보면 다음과 같습니다. /flag.zip 파일이 좀 보이는것 같은데 첫번째 는 HEAD /flag.zip 이라고 되어있기 때문에 무시하고 넘기셔도 됩니다. 두번째 옵셋의 GET /flag.zip을 확인해 보면 다음과 같습니다. Range를 보면 bytes의 범위가 적혀 있는 것으로 보아 나누어져 있는것 같습니다. Statistics - Conversations의 TCP만 확인해 보면 다음과같이 한번에 나옵니다. 우리가 봤었던 /flag.zip이 적혀있는 파일들을 모아 뒀습니다. 이제 network miner툴을 이용해서 확인해 보겠습니다. 해당 파일을 확인해 보면 다음과같은 파일이 있습니다. 해당 파일을 gimp로 열어보면 다..
-
Multimedia - Find Key(moon)$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 10. 15:16
↓moon.png HxD에 넣어서 확인해 봤는데 png 파일이 끝나는 지점부터 의문의 파일이 있는 것 같았습니다. Png 의 footer 시그니처 : 49 45 4E 44 AE 42 60 82 그래서 Linux에서 binwalk을 이용해서 확인해 보도록 하겠습니다. flag.txt파일이 저 사진안에 존재하네요 foremost 를 사용하면 해당 파일을 추출할 수 있습니다. 생성된 메시지의 형태가 tree형 인 것 같아서 한번 tree명령어를 사용해 보도록 하겠습니다. 00000000.png파일은 moon.png 파일에서 HxD에서본 의문의 txt파일을 제외한 원본 사진이고, audit.txt는 파일 결과 입니다. ↓audit.txt Zip폴더로 가서 확인했더니 압축파일이 있었습니다. Password는 그냥..
-
Multimedia - Find Key(butterfly)$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 10. 15:14
↓butterfly.png Stegsolve.jar을 이용해서 사진을 분석해 보겠습니다. 아래의 방향키를 눌러서 확인해 봅니다. Red plane 0 뿐만 아니라 Green plane 0, Blue plane 0, Ramdom clour map1, Ramdom clour map2, Ramdom clour map3에도 flag(Key값)이 있습니다. Key : sum{RE4DY_THE_4CID_M4GNET!} 또 다른 풀이 사용도구 : Forensically(온라인) https://29a.ch/photo-forensics/#forensic-magnifier Forensically(온라인)을 이용해서 flag찾기 Forensically : 히스토그램 평준화 기능과 함께 확대 기능을 제공 출처 : 디지털 포렌..
-
Multimedia - 호레이쇼가 플래그를 보며...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 10. 15:11
해당 사진을 다운 받아보면 다음과 같은 사진이 나옵니다. 하지만 아무런 결과를 얻을 수 없어서 exiftool을 이용해서 파일을 확인해 보겠습니다. 파일 내부에 썸네일이 있다는 것을 알수 있습니다. 해당 명령어를 입력하면 사진을 하나 얻을 수 있습니다. 해당 사진도 exiftool을 이용해서 확인해 보면 썸네일이 있습니다. 마저 추출을 해보면 다음과 같은 사진이 나옵니다. 해당 사진을 좌우 반전 해보면 Flag를 찾을 수 있습니다. Flag : INS{MAGNIFICATION_X100_FOR_STARTERS} 출처 : 디지털 포렌식 with CTF
-
포렌식 분석에서 중요한 타임 스탬프(Time Stemp)!!$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 9. 21:47
포렌식 분석에 있어서 타임 스탬프는 중요한 의미를 갖는다. 타임 스탬프의에 따라서 사건의 경위를 추측하고 방향을 정할 수 있습니다. 그정도로 분석에 있어서 타임 스탬프는 매우 중요한 역할을 합니다. 다음에 타임 스탬프에 대해서 다시 이야기 하겠지만 간략히 이야기 해보자면.. 사전적인 뜻으로 "어떠한 것을 시간 순서에 따라서 나열한 것" 을 타임라인(Timeline)이라고 합니다. 포렌식 분야에서도 타임라인 이라는 단어를 자주 사용하지만, 그 뜻도 사전적인 의미와 거의 비슷합니다. 특정 환경, 특정 사건에 남아 있는 기록들을 시간 순으로 나열해서 정리 한 것을 의미 합니다. 기록을 시간순으로 정리 하기 위해서는 남아 있는 기록 이외에도 추가적인 정보가 필요합니다. 시스템은 어떠한 행위 또는 어떠한 작업에 ..
-
2013년 제 1회 디지털 범인을 찾아라!$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 6. 6. 16:55
다운로드 파일과 문제 PDF를 확인해 보면 다음과 같은 문제를 확인 할 수 있습니다. 위와 같은 문제를 확인 할 수 있습니다. 문제를 먼저 이해해 보자면 해당 시나리오는 다음과 같은 과정으로 펼쳐져 나아갑니다. kimdocarm이라는 닉네임을 가진 '김도촬' 이라는 사람이 최신 영화를 캠코더를 가지고 몰래 촬영한 뒤 인터넷에다가 영상을 배포 시도를 했다. 경찰은 해당 인물을 검거 하는 도중에 USB 하나를 증거로 수집. 해당 용의자 김도촬은 자신의 범행을 부인하고, 경찰은 증거로 수집한 USB분석을 통해 용의자를 구속 하려 하고, 해당 USB 파일을 문제 푸는 풀이자 에게 맡긴다는 내용이다. 용의자는 이전에 보험 사기와 인터넷 사업을 했다고 한다. 다운로드 받은 파일을 FTK Imager를 이용해서 열어..