$ 포렌식 $
-
Digital Forensic Challenge 2019 MOI300 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 20:00
위의 사진에서는 풀이해야하는 항목들만 나와있지만 Desciption을 확인해 보면 제공된 증거는 무선 라우터의 SPI 플래시 메모리의 물리적 덤프 파일이라고 합니다. 풀이해야하는 내용은 다음과 같습니다. 1) 덤프 파일의 구조를 확인한다. ▪ 부트로더, 커널 및 파일 시스템. 2) 부트로더 기본주소를 찾으십시오. 3) 부팅 명령줄 인터페이스 입력 방법 식별 4) 부팅 명령줄 인터페이스 메뉴 설명 5) 웹 관리자 사용자 이름과 의심스러운 무선 라우터의 암호를 파악한다. 6) 무선 라우터에 등록된 WoL(Wake on LAN) 목록 1) 덤프 파일의 구조를 확인한다. 먼저 간단한 구조를 확인 하기 위해서 binwalk 를 이용하면 쉽게 확인이 가능합니다. bootloader 는 U-Boot이고 버전은 1.1..
-
Digital Forensic Challenge 2019 MOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 19:55
문제를 확인해 보면 위와 같이 160점, 20점, 20점으로 배점이 나누어져 있습니다. 또한 압축 파일을 확인해 보면 NAND_Dump.bin 이라는 파일이 존재 합니다. 이름이 NAND Dump 인것으로 보아 NAND Flash의 덤프 파일이지 않을까 생각을 해봅니다. Description을 확인해 보면 Set-top Box 의 덤프파일을 분석하는 것이 주된 목적이라고 합니다. Set-top Box 란? 대부분의 가정 집에 존재하는 제품으로, TV에 연결되어서 외부에서 들어오는 신호를 받아서 적절히 변환을 시키는 역할을 하는 장치로 전달 받은 신호를 TV로 출력해주는 장치를 이야기 합니다. Question은 아래와 같습니다. (1) 2개의 squashfs file system을 복구하기( Clear p..
-
Digital Forensic Challenge 2018 VOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 15. 21:56
문제를 보면 공격자가 악의 적으로 사용자 PC에 접속해서 볼륨을 암호화 하여 사용자의 비밀번호를 변경했다고 합니다. 메모리 덤프를 분석해서 암호화된 볼륨의 변경된 사용자 암호와 키를 가져와 이 사례를 해결하는 것이 문제입니다. 아래의 내용은 필수 적으로 작성해야합니다. - 사용자의 비밀번호를 메모리에 저장하고 사용자의 비밀번호를 얻는 원리에 대해서 설명한다. - 메모리에서 암호화된 볼륨의 암호를 해독할 수 있는 키를 얻는 과정과, 획득한 키와 키를 사용하여 볼륨을 해독하는 방법을 설명한다. 파일을 열어보면 아래와 같이 총2개의 파일이 존재 합니다. 하나는 메모리 덤프 파일인것 같고 Secret 파일은 어떤 파일인지 모르겠어서 file명령어를 이용해 봤습니다. file명령어를 사용한 결과 Disk File..
-
Digital Forensic Challenge 2018 AF100 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 3. 20:38
AF100 - Extract a password from the JPEG picture file 간단히 해석을 해보면 아래와 같습니다. 산업 기밀 누설 사건의 조사관이고, 조사하는동안 의심스러운 이메일을 받았는데 유출된 기밀을 포함한 여러 정보가 있었는데, 암호에 대한 정보가 없었으나 첨부파일이 존재 했었고, 해당 첨부 파일에 암호에 대한 정보가 있을 것이라 생각한 조사관은 포렌식 분석을 하려고 한다. 첨부된 파일은 아래와 같이 yuna2.jpg 라는 파일입니다. 해당 사진을 EXIFTOOL로 메타데이터 부분을 찾아 보면 아래와 같습니다. User Comment에 6gx{YVpR`J[#xZAb 라는 값이 있는데 사용자가 적어 둔 문자열 이기 때문에 나중에 필요할 것 같습니다. Thumbnail Image..
-
Multimedia - 저는 애니메이션을 좋아하는…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:42
다운로드된 파일을 확인해 보면 아래와 같이 파일이 손상되어 있는것처럼 보입니다. 하지만 Hint 2 를 보면 손상된게 아니라고 이야기 하고 있습니다. 구글에 원본 사진을 한번 찾아보면 아래의 경로에 원본 사진이 있습니다. https://pp.vk.me/c625217/v625217819/1eec5/5WzbbhtpMkQ.jpg 원본 파일과 비교를 해보면 hex값이 아래와 같습니다. 두개의 파일을 비교햇을때 0x44 0x45 와 같이 1차이로 차이가 납니다. 2개의 파일을 hex가 다른 값의 차이가 1이기 때문에 똑같은 index에 존재하는 값의 차이를 결과로 출력하는 파이썬 코드를 작성하겠습니다. 하이라이트된 부분의 길이는 240으로 값을 8씩끊으면 문자열로 표시할 수 있습니다. 출력을 해보면 flag를 찾..
-
Multimedia - Recover the key$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:39
문제 파일을 보면 아래와 같이 DOS/MBR boot sector 라고 적혀 있습니다. 디스크 이미지 파일로 판단 되서 FTK Imager 를 이용해서 열어 보겠습니다. FAT16 File 인것을 알 수 있고, !2469 , !8149, !8808 파일들을 보면 jpg파일임에도 불구하고 헤더 시그니처가 깨져 있습니다. 3개의 파일을 추출해서 그중하나의 hex를 확인해 보면 아래와 같습니다. FF D8 FF E0 시그니처 인데 FF D8 부분이 깨져 있습니다. 그렇기 때문에 추가 해서 보면 아래와 같습니다. 사진들이 있는데, 문제에서 key를 ddtek 로 적혀 있는 것으로 보아 steghide 또는 outguess 툴을 이용해서 복호화를 해보겠습니다. 그중에 !2467.jpg에서 outguess 툴을 이..