DEFCON DFIR CTF 2019
-
[DEFCON DFIR CTF 2019] Triage VM Questions$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 12. 02:23
Who's That User? user의 이름은 무엇인가? 라는 문제입니다. vmdk 파일이 있길래 DFA_CTF_Triage.vmdk 파일을 FTK Imager 로 열어서 확인했습니다. Flag : flag Thee who logged in last 가장 최근에 로그온한 시간은 언제인가? 라는 문제 입니다. 최근 로그온 시간은 SAM 파일에 나와 있기 때문에 export 해서 확인해 보겠습니다. [root]\Windows\System32\config\SAM 경로에 있습니다. 레지스트리 분석 도구중 하나인 rip.exe 로 풀이를 해볼생각입니다. rip.exe -r "SAM경로" -f sam Flag : flag Down Time? More like Frown Time 마지막으로 종료한시간이 언제인가요?..
-
[DEFCON DFIR CTF 2019] Memory Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:04
get your volatility on triage.mem의 sha1 hash 값은? 이라는 문제입니다. Flag : flag pr0file 이 머신의 운영체제 버전은 몇인가? 라는 문제입니다. 이제 메모리 분석의 강력한 툴인 volatility를 사용할 때가 온것 같습니다. [원래 ubuntu 에서 사용했지만 windows로 넘어갈 예정이라 window에서 해보겠습니다.] 아래와 같은 명령어로 찾아 볼 수 있습니다. python vol.py -f "C:\Adam Ferrante - Triage-Memory.mem" imageinfo python vol.py -f "C:\Adam Ferrante - Triage-Memory.mem" kdbgscan Flag : flag hey, write this do..
-
[DEFCON DFIR CTF 2019] Linux Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:02
red star 이 머신에서 구동하고 있는 리눅스 운영체제가 무엇인지 구하는게 문제입니다. Deadbox Forensics 에서 열었엇던 Horcrux.E01 파일에서 사용했던 Partition 2 뿐만 아니라 Partition 5도 있었습니다. ext4 파일시스템을 가지고 있는 것으로 보아 리눅스 시스템이 맞는거 같습니다. etc 폴더를 열어보면 ~~~-4.13.0-kail1-amd64 라는 파일이 4개정도 있는 것을 확인 할 수 있습니다. Flag : flag abc123 아파치의 access.log파일의 md5해시값은 무엇인가? 라는 문제입니다. 제가 알기로는 access.log 파일은 /var/log/apache2/access.log에 있는 거로 아는데 파일이 존재 하지 않습니다. Autopsy ..
-
[DEFCON DFIR CTF 2019] Deadbox Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:00
Hello, my name is ... 문제를 해석해 보면 E01을 만든 심사관의 이름은? 이라는 문제입니다. Horcrux 폴더를 확인해 보면 다음과 같습니다. 확장자가 E01 ~ E14로 되어 있는 것으로 보아 이미지 파일이 Chain 압축이 된 것으로 생각됩니다. 그렇기 때문에 Horcrux.E01 파일과 Horcrux.E01.txt 파일이 핵심인 것 같습니다. Horcrux.E01.txt에서 E01을 만든 심사관 이름을 찾을 수 있었습니다. Flag : flag Who owns it? 해석을 해보면 해당 머신의 기본 사용자 이름은? 이라고 합니다. FTK Imager을 이용해서 한번 열어보겠습니다. Flag : flag Does it match? 문제를 해석해 보면 증거의 SHA1 해시가 무엇인가..
-
[DEFCON DFIR CTF 2019] DFA Crypto Challenge$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 10. 23:58
Are you ready for this? 문제를 해석해 보면 챔플레인 디지털포렌식 협회의 로고가 있다. 숨겨진 메시지를 해독할 수 있는가? 라는 문제 입니다. .png파일인것 으로 보아 스테가노 그래피 문제인것 같습니다. 사진을 확인해 보겠습니다. 여러 스테가노 그래피 관련 기법을 확인해 보았지만 아무런 성과`가 없었습니다. 사진에 70 6F 71 64 63 68 68 6E 라는 문자열이 있습니다. 한번 변환을 해보겠습니다. 결과는 poqdchhn입니다. 기본적인 Crypto Challenge 문제라 생각되서 rot13인 키를 13을 이용한 카이사르 암호학을 사용해 보겠습니다. 키가 13인 문자열은 cbdqpuua 입니다. 그러다가 게싱으로 푸는 문제인지 모르겠지만 대체 암호를 이용해서 암호학을 했을것..