Disk
-
Disk - 도와주십시오, 누군가…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 4. 8. 01:38
문제를 해결하기 위해서 flag.torrent 파일을 HxD로 열어 보겠습니다. 이러한 데이터를 가지고 문제를 해결 해야 하는데 Hex 데이터에서 length 문자열을 확인 할 수 있습니다. 공유 파일 크기 : lengthi 28 e4 piece 조각의 크기 : lengthi 2 e6 위의 데이터를 기반으로 해서 "공유파일 크기" / "piece 조각 크기" = "piece 조각의 개수" 를 알 수 있습니다. piece 조각의 개수는 14개 인것을 확인 할 수 있습니다. 그리고 pieces280 를 보아 암호화 해서 전달하는 데이터의 크기는 280byte라는 것을 알 수 있습니다. 280바이트의 데이터를 확인해 보면 아래와 같습니다. 해당 데이터가 총 14조각이 되어야 하기 때문에 1조각당 20바이트 라..
-
HackTMCTF Write up$ Capture The Flag $ 2020. 2. 6. 00:04
Forensic Strange PCAP 파일을 열어보면 Protocol이 USB로 나와있습니다. USB Protocol 이란? 로컬 컴퓨터와 USB 사이의 통신 내용을 패킷으로 잡을때 사용되는 Protocol 입니다. Info에 다양한 통신 기록이 존재 합니다. 그중에서 데이터를 담을 만한 Info 는 usb.transfer_type이 0x01 인 "URB_INTERRUPT in" 입니다. filter 에서 usb.transfer_type == 0x01 을 입력하면 Info 가 URB_INTERRUPT in 인 패킷만 출력이 되게 됩니다. 그리고 URB_INTERRUPT in 에 데이터를 담기 위해서는 Capture Data 에 들어있습니다. 위와 같이 Leftover Capture Data 에 값이 들..
-
Disk - A회사 보안팀은 내부직원...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:22
첨부 파일의 확장자가 .001 인것으로 보아 디스크 이미지파일이라는것을 알수 있습니다. AccessData FTK Imager를 이용해서 파일을 열어보겠습니다. 하위 디렉터리에 10개의 이상한 이름의 파일이 존재 합니다. 해당 [root] 파일을 추출해보겠습니다. 각각의 폴더에 .app 파일들이 있습니다. 3BF5888C-B2FE-4E31-9FC2-480DEA405331 : CGV2.app 3E068DCB-B90B-43DC-B1A9-D083B5BBABE7 : CNN-iPhone.app 5BB3AF5D-01CC-45D9-947D-977DB30DD439 : Dropbox.app 6BCC19E4-31A9-4381-AABA-88069F3A763F : WebViewService.app 6F667589-637A-4..
-
Disk - 판교 테크노밸리 K기업에서... #1,2$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:21
용의자가 가장 많이 접근한 사이트의 URL 과 URL에 마지막 접근한 시각을 찾는 문제 입니다. 압축 파일을 열어보면 사용자 폴더 및 여러 각종 폴더 들이 존재 합니다. 기본적으로 웹 사이트 접근 목록은 웹 캐시에 남아 있습니다. 하지만 어떤 브라우저를 이용해서 웹 사이트에 접근 했는가도 중요한 내용입니다. 접근한 브라우저에 따라서 웹캐시가 달라지면서 분석툴도 달라지기 때문이죠! \AppData\Local 에 있는 폴더를 분석 해 보면 어떠한 브라우저를 사용하는지 알 수있습니다. Google Chrome : \AppData\Local\Google\Chrome Apple Safari : \AppData\Local\Apple Computer\Safari 의 폴더가 존재하다면 각각 크롬과 사파리 브라우저를 사..
-
Disk - 이벤트 예약 웹사이트를 운영하고… #A,B,C$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:19
일단 문제 파일을 열어보면 아래와 같이 여러 폴더를 확인 할 수 있다. 각각 폴더에 들어있는 파일을 봐보겠습니다. accounts : group(사용자 그룹 목록), history(사용자가 사용한 명령어 목록), last_R, lastlog, passwd, shadow, w file : fls_r_m, mactime_b network : arp, lsof(폴더와 관련된 파일및 프로세스 목록), netstat_an osinfo : date, df_k, hostname, ifconfig_a, localtime, timezone, uname_a process : crontab, ipcs_u, lsmod, ps_eaf, pstree_a, sad weblog : access.log(웹 로그 목록) 해당 폴더들은 ..