$ 포렌식 $
-
프리패치 파일 분석(Prefetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 18:47
해당 글에서의 부족한 부분과 내용을 추가하여 아래의 URL로 이동하였습니다! URL : blog.forensicresearch.kr/23 Prefetch File Structure Analysis 이번에 알아볼 구조는 프리패치 파일 입니다. 프리패치 파일이란? 시스템에서 실행된 응용프로그램을 분석할때 유용한 파일로, Windows 에서만 존재 하는 파일로 응용프로그램이 처음 사용되는 blog.forensicresearch.kr blog.forensicresearch.kr 블로그도 많이 사랑해 주세요!
-
Adam7 Algorithm Encoding을 이용한 PNG FILE Steganography Analysis$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:36
SECCON 2019 CTF 에서 아래와 같이 interlace 로 Adam7 Interlace 인 문제를 접했습니다. 그래서 Adam7 Interlace 와 관련된 알고리즘인 Adam7 Algorithm에 대해서 이야기 해보겠습니다. Adam7 Algorithm은 PNG Image 에서 사용 하는 Interlacing 알고리즘 중에 하나로 아래와 같은 7개의 sub image의 형식으로 이미지 출력이 진행됩니다. 이미지의 실질적인 데이터를 다루는 IDAT Chunk의 개수에 비례해서 위의 알고리즘이 몇번 반복 하는 지를 의미 합니다. SECCON 2019 CTF 문제에서는 총 8개의 IDAT Chunk 가 있었고 Chunk가 하나씩 많아 짐에 따라서 점점 구체적으로 픽셀이 입력되는 것을 확일 할 수 있..
-
Image 1bpp, 2bpp LSB Steganography$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:33
LSB (Least Significant Bit) 알고리즘 이란? (255, 255, 255) 11111111 LSB 해석 그대로 최하위 비트에 데이터를 은닉하는 스테가노 그래피 방법중 하나 입니다. 설명은 아래와 같습니다. 원본 사진 및 음원파일 즉, 멀티미디어 파일에 메시지를 은닉 시키는데 최 하위 비트인 가장 오른쪽 비트에 은닉을 시켜 둡니다. 그리고 은닉 시킨 데이터는 다시 아래와 같은 방식으로 추출합니다. 이번에는 1bpp , 2bpp 를 이용한 LSB Steganography 를 소개 해드리려고 합니다. bpp란? bit per pixel의 줄인말로 색을 표현 할 때 사용하는 단위 입니다. 기본적인 Image LSB Steganography를 1bpp LSB Steganography 라고 이야..
-
Disk - A회사 보안팀은 내부직원...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:22
첨부 파일의 확장자가 .001 인것으로 보아 디스크 이미지파일이라는것을 알수 있습니다. AccessData FTK Imager를 이용해서 파일을 열어보겠습니다. 하위 디렉터리에 10개의 이상한 이름의 파일이 존재 합니다. 해당 [root] 파일을 추출해보겠습니다. 각각의 폴더에 .app 파일들이 있습니다. 3BF5888C-B2FE-4E31-9FC2-480DEA405331 : CGV2.app 3E068DCB-B90B-43DC-B1A9-D083B5BBABE7 : CNN-iPhone.app 5BB3AF5D-01CC-45D9-947D-977DB30DD439 : Dropbox.app 6BCC19E4-31A9-4381-AABA-88069F3A763F : WebViewService.app 6F667589-637A-4..
-
Disk - 판교 테크노밸리 K기업에서... #1,2$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:21
용의자가 가장 많이 접근한 사이트의 URL 과 URL에 마지막 접근한 시각을 찾는 문제 입니다. 압축 파일을 열어보면 사용자 폴더 및 여러 각종 폴더 들이 존재 합니다. 기본적으로 웹 사이트 접근 목록은 웹 캐시에 남아 있습니다. 하지만 어떤 브라우저를 이용해서 웹 사이트에 접근 했는가도 중요한 내용입니다. 접근한 브라우저에 따라서 웹캐시가 달라지면서 분석툴도 달라지기 때문이죠! \AppData\Local 에 있는 폴더를 분석 해 보면 어떠한 브라우저를 사용하는지 알 수있습니다. Google Chrome : \AppData\Local\Google\Chrome Apple Safari : \AppData\Local\Apple Computer\Safari 의 폴더가 존재하다면 각각 크롬과 사파리 브라우저를 사..
-
Disk - 이벤트 예약 웹사이트를 운영하고… #A,B,C$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:19
일단 문제 파일을 열어보면 아래와 같이 여러 폴더를 확인 할 수 있다. 각각 폴더에 들어있는 파일을 봐보겠습니다. accounts : group(사용자 그룹 목록), history(사용자가 사용한 명령어 목록), last_R, lastlog, passwd, shadow, w file : fls_r_m, mactime_b network : arp, lsof(폴더와 관련된 파일및 프로세스 목록), netstat_an osinfo : date, df_k, hostname, ifconfig_a, localtime, timezone, uname_a process : crontab, ipcs_u, lsmod, ps_eaf, pstree_a, sad weblog : access.log(웹 로그 목록) 해당 폴더들은 ..
-
Multimedia - hohohahiho$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:17
문제의 비밀번호를 이용해서 문제를 열어보면 passwd.txt 와 Koala.zip 파일을 받을 수 있습니다. SHA256 : BINARY 를 보고 passwd가 SHA256을 바이트화 시켜보자 라는 생각을 했습니다. 01010011 01001000 01000001 00110010 00110101 00110110 를 Koala.zip 파일의 비밀번호로 사용하면 아래와 같습니다. 코알라 사진을 exiftool 로 열어보면 문자열들이 보입니다. base 문자열은 아래와 같이 복호화가 됩니다. 가장 긴 문자열이 수상해 보입니다. A를 . B를 - 로 변환해서 모스부호 복호화를 해보겠습니다. ..-. .-.. .- --. ---... -.- ....- .--. - ...-- -. .--. ....- - .---..
-
Multimedia - stream$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:00
문제 파일을 열어보면 tcp.stream eq 0 에 아래와 같은 문자열을 찾을 수 있습니다. 미디어 파일을 찾아 봐야 할 것 같습니다. HTTP 를 열어보면 파일이 하나 있습니다. 해당 미디어 파일을 다운받고 php 서버를 열어서 Document root 에 다운받은 파일을 넣습니다. vlc-wapper 을 이용해서 파일을 열어보면 Flag를 얻으 실 수 있습니다. Flag : MMA{windows_xp_is_too_old_to_create_problem!!} 출처 : 디지털 포렌식 with CTF