$ 포렌식 $
-
Multimedia - 각각의 소네트를 똑같이 즐기시오.$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 5. 23:59
문제 파일을 열어보면 셰익스피어의 소네트 내용을 확인 할 수 있다. 대부분 pdf 파일에 은닉을 시키면 PDFStreamDumper 라는 툴을 이용해야합니다. PDFStreamDumper로 PDF를 열어보면 위의 문자열에서 반복되는 문자열을 찾아보면 아래와 같습니다. [ TJ 0 -14.79 Td , TJ 0 -17.624 , TJ 0 -17.625 ] 0 17.624-5 -> 1 로 변환해서 값을 추출해 보겠습니다. 해당 명령어는 PDFStreamDumper 에서 볼수 있는 모든 데이터가 out.pdf 로 출력이 됩니다. 해당 파일에서 정규식을 이용해서 데이터를 추출할 수있는 코드를 작성해 보겠습니다. 코드를 실행시켜 보면 아래와 같이 flag가 나오는데 완전 하지 않습니다. x,d,j 를 t,a,r ..
-
Multimedia - 어딘가에 숨겨진 메시지가 있을 것이다.$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 5. 23:57
문제를 푸는데 거의 1시간을 날리고 알게된 내용이 있었던 문제이다. 해당 문제에 원래 힌트가 있다고 합니다. Hint : bpp. 그건 믿을 수 없다... 2bpp, 2x3 매트릭스 임베딩, Jessica Fridrich는 이문제를 쉽게 해결이 가능하다. 라는 힌트를 받았어야 했습니다. bpp란 bit per pixel 로 일정한 범위의 가짓수 만큼 색을 표현 하기 위해서 비트의 개수를 부르는 단위 입니다. 2bpp는 2개의 비트를 사용해서 픽셀당 2비트를 사용하겠다 라는 의미 입니다. 기존의 LSB Steganography는 가장 오른 쪽의 1비트를 사용했지만 2bpp인것으로 보아 픽셀당 2개의 데이터를 은닉 했을 것이다. 2bpp steganography 에대해서 검색을 하다가 다음과 같은 논문 내용..
-
Multimedia - 저는 미치지 않았어요.$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 5. 23:56
압축 파일을 열어보면 exe 파일이 나오는데 실행 해보면 아래와 같은 사진이 출려됩니다. 더이상 뭐가 없어서 Hex 값을 살펴 보던중 exe 파일 내부에서 pdf 헤더 파일 시그니처를 발견 했습니다. 카빙 툴인 foremost 를 이용해서 추출해 보겠습니다. 총 3개의 파일이 카빙 되었습니다. zip 1개, pdf 1개, exe 1개 pdf 에는 lock 이걸려 있습니다. 그래서 pdfcrack을 이용해서 lock을 해제해 보겠습니다. password 는 sheldon 이였네요 Flag : StephenHawkingSpentSomeTimeOnSteganoTrolling 출처 : 디지털 포렌식 with CTF
-
Multimedia - PNG파일에 숨겨진...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 10. 20. 18:03
PNG파일은 2단계의 압축 프로세스를 거치게 되는데, 1단계 사전 압축과정에서는 필터 타입을 선택 하게 됩니다. 필터 타입의 종류는 아래와 같습니다. - None - Sub - Up - Average - Paeth 이러한 필터 타입을 이용해서 PNG 파일에 데이터 은닉이 가능합니다. 제가 경험한 압축과 관련된 스테가노 그래피 는 해당 이미지의 IDAT 값에 해당하는 data를 decompressed 해서 나온데이터를 가지고 width*3+1 번 마다 존재하는 맨 앞 0번 인덱스 데이터를 비트화 해서 은닉 시키는 방법을 접해 본적이 있습니다. 문제 PNG 파일인 hidden.png 파일을 HxD를 이용해서 헤더를 확인해 보겠습니다. 빨간 박스는 PNG Signature 를 의미 합니다. 파란 박스는 Chu..
-
Forensics Analysis of Recycle Bin$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 10. 14. 08:32
팀 데피닛에 들어간 이후로 첫 팀 블로그에 글을 적게 되었습니다. 간단하게 휴지통 포렌식에 대해서 정리를 해보았습니다. https://defenit.kr/2019/10/14/Forensic/%E3%84%B4%20Research/Forensics_Analysis_of_Recycle_Bin/ Forensics_Analysis_of_Recycle_Bin 목차 휴지통 분석의 개요(Recycle Bin) 휴지통이란? 휴지통 분석(Recycle.Bin) Windows XP 휴지통 분석 C:\RECYCLER\\{USER SID} 폴더 찾기 Windows XP에서의 INFO2 file 과 저장되는 파일 이름 INFO2 FILE Structure Analysis Windows 10 휴지통 분석 C:\$Recycl def..
-
Network - DefCoN#21 #8$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 9. 18. 01:54
패킷을 분석해 보면 다음과 같이 RTP 프로토콜을 이용해서 전송한 패킷을 많이 확인 할 수 있습니다. RTP프로토콜은 실시간으로 멀티미디어(음성, 영상 등)을 송수신할때 사용하는데, 한번 RTP Stream Analysis 를 확인해 보겠습니다. Telephony -> RTP -> Stream ->Analysis Play를 해보면 포렌식 전문가에게 사건을 의뢰했던 Jack과 Victoria가 통화를 하는데 Jack은 Gregory를 죽인 사람으로 Victoria를 지목하고 흥분한 Victoria가 모두를 죽이겠다고 함. Flag : Victoria 출처 : 디지털 포렌식 with CTF
-
Network - DefCoN#21 #7$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 9. 18. 01:52
허위 적인 사이트를 한번 찾아 보겠습니다. 계좌 관련된 URL 이기 때문에 다음과 같은 URL을 찾았습니다. ↓ www.bankofamerica.com 은행 관련 사이트 입니다. 그렇다는 것은 www.bankofamerica.com와 관련된 비슷한 허위 URL 이 있을 것 입니다. bankofamerica.tt.omtrdc.net에 접속한 흔적이 있습니다. 3015 패킷의 TCP dump를 확인해 보겠습니다. Request 데이터를 한번 확인해 보면 다음과 같이 구글에 검색한 흔적이 있습니다. mboxReferrer=http://www.google.com/url?sa=t&rct=j&q=why is my bank of america account not working?&source=web&cd=2&ved=..