Forensic1
-
[Forensic] Forensic1CTF write_up/2019 SUA CTF 2019. 8. 16. 01:06
해당 문제는 이미지 파일을 먼저 주기 때문에 FTK Imager로 파일의 내부를 먼저 확인하면서, 직접 Arsenal Image Mounter를 이용해서 마운트를 시켜 보겠습니다. ↓ FTK Imager ↓ Arsenal Image Mounter 마운트된 디스크를 보면 하나가 잠겨져 있습니다. 디스크가 잠겨 있는 것을 확인하고 레지스트리를 먼저 확인해야 겠다고 생각이 되었다. /windows/system32/config/ SAM , SECURITY , SOFTWARE , SYSTEM 파일을 FTK Imager를 이용해서 추출후 레지스트리 분석툴인 REGA에 넣어 보았습니다. REGA tool은 아래의 URL에서 다운로드가 가능합니다. http://forensic.korea.ac.kr/tools.html ..
-
[SUA CTF][Forensic] Forensic1CTF write_up/기타 CTF 2019. 7. 22. 17:49
pcapng 파일이 하나 주어집니다. 한번 확인해 보겠습니다 파일 내부를 좀 보다 보면 user가 로그인을 하고 파일을 전송하는 모습을 확인할 수 있습니다. 첫번째로 보이는 파일은 SUA_CTF_Forensic.txt 파일입니다. 그리고 두번째로 보이는 파일은 zeus 파일입니다. 해당 파일들을 카빙해서 추출해 보겠습니다. 저는 Follow TCP Stream에서 RAW 를 확인하고 추출했습니다. 이렇게 2개의 파일을 카빙 했습니다. SUA_CTF_Forensic.txt 파일을 확인해 보면 문제가 2개가 있습니다. 확인해 보면 다음과 같습니다. 1번 문제의 답은 flag is file name 이라고 했고, 유출된 파일이 어떤 파일인지 를 물어보고 있기 때문에 첫번째 flag는 zeus입니다. 2번 문제..