$ 포렌식 $
-
Network - DefCoN#21 #5$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 9. 18. 01:48
문제 파일을 보면 Dump 파일과 log 파일이 있습니다. log file 을 보면 dump_android.cpp complied라는 문자열을 확인 할 수 있는데 안드로이드 덤프 파일이라는 것을 알 수 있습니다. Dump파일을 분석하던중 Dump\mnt\sdcard 폴더를 찾았습니다 그래서 다음과 같은 경로에서 사진을 찾았습니다. Dump\mnt\sdcard\DCIM\Camera를 확인해보면 다음과 같은 사진이 있습니다. 사람이 쓰러진 사진이 있습니다. Flag : DIED 출처 : 디지털 포렌식 with CTF
-
디스크 분석을 위한 vmdk 변환 및 가상 이미지 부팅!$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 9. 18. 01:38
포렌식 관련 공부를 하다가 문제로 주어지는 디스크 이미지 파일을 vmdk로 변환해서 VM ware가상 머신에 올리는 작업을 알게 되었습니다. 일단 준비물은 아래와 같습니다. 1. 구동가능한 linux 운영체제 2. qemu 명령어 3. vmdk로 만들 디스크 이미지 파일 먼저 구동 가능한 linux 운영체제로 들어가서 sudo apt-get install qemu를 입력해서 qemu 설치! 그리고 디스크 이미지 파일을 linux 운영체제로 옮겨와서 아래와 같은 명령어를 입력하면 (0.00/100%) 가 뜨면서 vmdk가 만들어집니다. qemu-img convert -pO vmdk [vmdk만들 디스크 이미지 파일 명] [vmdk생성될 파일 명] 위와 같이 (100.00/100%) 가 되면 vmdk가 생성..
-
[DEFCON DFIR CTF 2019] Triage VM Questions$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 12. 02:23
Who's That User? user의 이름은 무엇인가? 라는 문제입니다. vmdk 파일이 있길래 DFA_CTF_Triage.vmdk 파일을 FTK Imager 로 열어서 확인했습니다. Flag : flag Thee who logged in last 가장 최근에 로그온한 시간은 언제인가? 라는 문제 입니다. 최근 로그온 시간은 SAM 파일에 나와 있기 때문에 export 해서 확인해 보겠습니다. [root]\Windows\System32\config\SAM 경로에 있습니다. 레지스트리 분석 도구중 하나인 rip.exe 로 풀이를 해볼생각입니다. rip.exe -r "SAM경로" -f sam Flag : flag Down Time? More like Frown Time 마지막으로 종료한시간이 언제인가요?..
-
[DEFCON DFIR CTF 2019] Memory Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:04
get your volatility on triage.mem의 sha1 hash 값은? 이라는 문제입니다. Flag : flag pr0file 이 머신의 운영체제 버전은 몇인가? 라는 문제입니다. 이제 메모리 분석의 강력한 툴인 volatility를 사용할 때가 온것 같습니다. [원래 ubuntu 에서 사용했지만 windows로 넘어갈 예정이라 window에서 해보겠습니다.] 아래와 같은 명령어로 찾아 볼 수 있습니다. python vol.py -f "C:\Adam Ferrante - Triage-Memory.mem" imageinfo python vol.py -f "C:\Adam Ferrante - Triage-Memory.mem" kdbgscan Flag : flag hey, write this do..
-
[DEFCON DFIR CTF 2019] Linux Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:02
red star 이 머신에서 구동하고 있는 리눅스 운영체제가 무엇인지 구하는게 문제입니다. Deadbox Forensics 에서 열었엇던 Horcrux.E01 파일에서 사용했던 Partition 2 뿐만 아니라 Partition 5도 있었습니다. ext4 파일시스템을 가지고 있는 것으로 보아 리눅스 시스템이 맞는거 같습니다. etc 폴더를 열어보면 ~~~-4.13.0-kail1-amd64 라는 파일이 4개정도 있는 것을 확인 할 수 있습니다. Flag : flag abc123 아파치의 access.log파일의 md5해시값은 무엇인가? 라는 문제입니다. 제가 알기로는 access.log 파일은 /var/log/apache2/access.log에 있는 거로 아는데 파일이 존재 하지 않습니다. Autopsy ..