DFC
-
Digital Forensic Challenge 2019 MOI300 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 20:00
위의 사진에서는 풀이해야하는 항목들만 나와있지만 Desciption을 확인해 보면 제공된 증거는 무선 라우터의 SPI 플래시 메모리의 물리적 덤프 파일이라고 합니다. 풀이해야하는 내용은 다음과 같습니다. 1) 덤프 파일의 구조를 확인한다. ▪ 부트로더, 커널 및 파일 시스템. 2) 부트로더 기본주소를 찾으십시오. 3) 부팅 명령줄 인터페이스 입력 방법 식별 4) 부팅 명령줄 인터페이스 메뉴 설명 5) 웹 관리자 사용자 이름과 의심스러운 무선 라우터의 암호를 파악한다. 6) 무선 라우터에 등록된 WoL(Wake on LAN) 목록 1) 덤프 파일의 구조를 확인한다. 먼저 간단한 구조를 확인 하기 위해서 binwalk 를 이용하면 쉽게 확인이 가능합니다. bootloader 는 U-Boot이고 버전은 1.1..
-
Digital Forensic Challenge 2019 MOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 19:55
문제를 확인해 보면 위와 같이 160점, 20점, 20점으로 배점이 나누어져 있습니다. 또한 압축 파일을 확인해 보면 NAND_Dump.bin 이라는 파일이 존재 합니다. 이름이 NAND Dump 인것으로 보아 NAND Flash의 덤프 파일이지 않을까 생각을 해봅니다. Description을 확인해 보면 Set-top Box 의 덤프파일을 분석하는 것이 주된 목적이라고 합니다. Set-top Box 란? 대부분의 가정 집에 존재하는 제품으로, TV에 연결되어서 외부에서 들어오는 신호를 받아서 적절히 변환을 시키는 역할을 하는 장치로 전달 받은 신호를 TV로 출력해주는 장치를 이야기 합니다. Question은 아래와 같습니다. (1) 2개의 squashfs file system을 복구하기( Clear p..
-
Digital Forensic Challenge 2018 VOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 15. 21:56
문제를 보면 공격자가 악의 적으로 사용자 PC에 접속해서 볼륨을 암호화 하여 사용자의 비밀번호를 변경했다고 합니다. 메모리 덤프를 분석해서 암호화된 볼륨의 변경된 사용자 암호와 키를 가져와 이 사례를 해결하는 것이 문제입니다. 아래의 내용은 필수 적으로 작성해야합니다. - 사용자의 비밀번호를 메모리에 저장하고 사용자의 비밀번호를 얻는 원리에 대해서 설명한다. - 메모리에서 암호화된 볼륨의 암호를 해독할 수 있는 키를 얻는 과정과, 획득한 키와 키를 사용하여 볼륨을 해독하는 방법을 설명한다. 파일을 열어보면 아래와 같이 총2개의 파일이 존재 합니다. 하나는 메모리 덤프 파일인것 같고 Secret 파일은 어떤 파일인지 모르겠어서 file명령어를 이용해 봤습니다. file명령어를 사용한 결과 Disk File..
-
Digital Forensic Challenge 2019 AF300 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 16. 17:40
결국에는 USB와 전자메일을 입수 했고 그걸 분석해서 정보를 입수 하는 것이 문제인것 같습니다. 이메일을 번역해 보면 다음과 같이 나옵니다. PDF 파일 찾고, 이전에 사용한 암호도 찾아야 하는 것 같습니다. E01 파일이므로 FTK Imager 를 이용하겠습니다. Information 폴더에서 1.pdf 를 발견했습니다. 1.pdf 는 삭제된 상태로 비밀번호가 걸려있으며, 2.pdf 도 비밀번호가 걸려있다. Bob presentation.zip 파일은 삭제된 상태이지만 사이즈가 0이여서 복구도 불가능 하다. binwalk 0280 를 해보면 End of Zip archive 문자열을 찾을 수 있습니다. binwalk 1312 를 해보면 맨 아래에 Zip archive data file 이 있습니다. 실..
-
Digital Forensic Challenge 2019 AF200 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 13. 12:57
AF200 문제로 저번 AF100 문제를 너무 재미잇게 풀어서 이번 문제도 기대가 됩니다! 문제를 이제 확인해 보겠습니다. what-is-Pooh-doing 이라는 파일의 확장자를 알아 보겠습니다. 7z 파일인 것을 알 수 있고, 압축 해제를 해보겠습니다. 하이브 파일(hve)과 하이브 로그 파일(hve.LOG1)이 있습니다. 하이브 파일은 레지스트리 뷰어로 확인 해 볼수 있기 때문에 Registry Explorer 툴을 이용해서 확인해 보겠습니다. 0xAF200 하위에 3개의 폴더가 존재 합니다. - Let's warm up. - One part was stored here. - Two parts were buried here. 먼저 0xAF200에 데이터가 있는지 보겠습니다. 아무런 데이터가 들어있지..
-
Digital Forensic Challenge 2019 AF100 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 12. 10:51
ZIP 파일에서 숨겨져 있는 데이터를 찾는 문제인것 같습니다. 일단 ZIP 파일이 어떻게 구동되는지 원리를 이해해 보겠습니다. * zip 파일을 실행하면 실행되는 순서는 대략적으로 아래와 같이 나타낼 수 있다. 1. 최초 실행시에 End of Central Directory로 이동. 2. End of Central Directory 에 있는 정보를 바탕으로 Central Directory 의 시작 위치로 이동합니다. 3. Central Directory 에서 정보를 읽고 End of Central Directory에서 Central Directory의 개수만큼 반복하여 End of Central Directory전까지 읽는다. 4. Central Directory에서 읽은 Local Header 위치로 ..