Forensic
-
Time Information Expressions(시간 정보 표현)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 12. 6. 22:25
디지털 데이터에서 절때 빠질수 없는 시간 정보를 표현하는 방식에 대해서 이야기 해보려고 합니다. 필자 같은 경우에는 공부하면서 시간 정보를 표시하는 HEX값이 나타난다면 dcode.exe 라는 시간 변환 툴을 이용해서 복호화만 하고 넘기기 일수 였습니다. 하지만 해당 HEX값이 어떻게 복호화가 되는지 알아보게 되었습니다. HEX 값이 어떤 구조를 가지는가도 중요하지만 어떤 종류의 시간 정보 표현이 존재 하는지 먼저 알아 보겠습니다. GMT( 그리니치 표준시 ) GMT(Greenwich Mean Time )의 약자로 영국 런던 외각쪽에 위치한 그리니치 천문대를 기준으로 한 기준이 되는 태양 시 입니다. 많은 천문대를 놔두고 굳이 그리니치 천문대를 태양시의 기준 으로 지정한 이유는 경도 0도에 위치해 있기 ..
-
운영체제 설치 시간 분석(Operating System Install Date Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 12. 5. 22:31
운영체제 설치 시간의 포렌식적 의미 포렌식적 의미를 바탕으로 보았을때 운영체제 설치 시간은 중요한 역할을 하기도 합니다. 용의자가 증거 은폐를 위해서 Format 또는 완전 삭제를 하기 위해서 운영체제를 새로 설치 하는 경우가 있습니다. 자신이 증거를 은폐했다는 사실을 숨기는 경우가 있는데 이때 운영체제 설치 시간이 유용하게 사용할 수 있다. 운영체제 설치 시간이 사건 발생 시간 이후로 변경이 되어 있는데도불구하고 발생 이전부터 계속해서 해당 운영체제를 쭉 사용해 왔다고 할 수 있다. 또한 모든 파일은 운영체제 설치 시간 이후의 TimeStamp를 가지고 있어야 하는데 그렇지 않은 파일이 존재 한다면 용의자(사용자)가 의도적으로 운영체제 설치 시간을 수정 했을 가능을 성을 가진다. 하지만 다른 저장매체에..
-
LNK File Structure$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 22. 22:06
LNK File 이란? LNK File은 Shell Link나 Shortcut이라고 불리는 Link File 구조체 라고도 이야기를 하는데 다른 데이터들의 접근하는데에 필요한 정보를 가지고있는 데이터 입니다. Shell Link Binary File Format은 확장자가 .LNK 인 윈도우 파일 포맷 입니다. Shell Link는 보통 응용프로그램을 실행하거나 OLE 같은 시나리오를 Linking을 제공하기 위해서 사용하는것 뿐만아니라 파일에 대해 참조를 저장하는 기능을 필요로 하는 애플리케이션에 사용할 수도 있습니다. LNK File Format Shell Link Binary File Format의 구조를 보면 아래와 같습니다. 기본적으로 5개의 구조체로 이루어져 있는데, 각각의 Link File ..
-
RITSEC CTF Write up$ Capture The Flag $ 2019. 11. 20. 23:28
Stego the_doge 파일을 분석해 보니.. 아무것도 나오지 않아서 문제를 다시 읽어 보았습니다. feed the doge a treat to get the hidden message 를 보고 steghide 를 이용해야 할것 같다 생각이 들었고, treat 를 비밀번호로 사용해 봤습니다. doge_ctf.txt 파일을 열어보면 Flag 를 확인할 수 있습니다. Flag : RITSEC{hAppY_l1L_doG3} HD Pepe 해당 문제를 보면 exiftool 을 이용해서 확인해 보겠습니다. github 주소를 찾아 볼 수 있습니다. https://github.com/cyberme69420/hdpepe 들어가 보면 아래와 같은 파일이 있습니다. encoder.py 를 확인해 보겠습니다. 위의 소스..
-
HCTF Write up$ Capture The Flag $ 2019. 11. 18. 13:09
Forensic Normal Forensic pcapng 파일을 좋은 가독성과 빠른 분석을 위해서 pcapng 파일을 pcap 파일로 변환을 해보겠습니다. (NetworkMiner 에는 pcapng 파일이 안들어가서) 그리고 networkminer 에 넣어보면 아래와 같이 Messages 목록에 3개가 있는것을 확인 할 수 있습니다. 해당 파일들은 전부 메일이며 데이터를 정리해 보면 아래와 같습니다. 그중 Frame 16529번을 보면 password 가 있지만 IT IS NOT FLAG 로 FLAG가 아니라고 이야기 하면서 다른 파일은 Secret Channel을 통해서 보냈다고 합니다. 그렇다면 Secret Channel을 통해서 보내진 파일은 .zip 또는 .7z 와 같은 압축관련 파일일것같고 거기..
-
Digital Forensic Challenge 2019 ART100 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 17. 14:07
문제를 보면 이미지 디스크 안에 들어있는 프리패치 파일과 이벤트 추적 로그를 분석하는 것이 문제인것 같습니다. 일단 프리패치파일(Prefetch File) 과 이벤트 추적 로그(Event Trace)에 대해서 먼저 알아보겠습니다. 1. Prefetch File? 일반적으로 응용 프로그램의 페이지를 미리 로드 하여 시스템 성능을 높이는 기능을 하는 파일을 프리패치 파일(Prefetch File) 이라고 이야기 합니다. 실행 파일이 사용하는 특정 파일을 미리 저장 해서 윈도우 부팅시에 프리패치 파일을 모두 메모리에 로드시켜서 실행속도를 향상시킵니다. 캐시 관리자는 모든 파일 및 디렉터리를 모니터링하고 .pf파일로 매핑을 하는데 각 .pf는 실행의 마지막 시간. 실행 횟구 및 프로그램 날짜/시간 파일에서 사용..
-
OLE File Structure$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 16. 22:28
OLE File 이란? OLE 파일은 Object Linking & Embedding의 약자로 Microsoft Compound File Binary File format인 CFBF format 이라고도 불립니다. OLE File Structure OLE File은 크게 2개의 블록으로 나뉘는데 Header Block 과 Data Block 으로 나뉘어 집니다. 헤더 블록은 128byte * 2^N의 크기를 가지며, 그 이후로는 데이터 블록을 가지게 됩니다. 데이터 블록은 여러개의 섹터로 되어있습니다. 헤더도 하나의 섹터로도 불립니다. 결국 각각의 섹터들이 모여서 만들어 진것이 OLE File 입니다. 그렇다면 섹터로는 어떤 종류가 있는지 한번 알아 보겠습니다. 데이터 블록은 Stream Sector가 ..
-
Digital Forensic Challenge 2019 AF100 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 12. 10:51
ZIP 파일에서 숨겨져 있는 데이터를 찾는 문제인것 같습니다. 일단 ZIP 파일이 어떻게 구동되는지 원리를 이해해 보겠습니다. * zip 파일을 실행하면 실행되는 순서는 대략적으로 아래와 같이 나타낼 수 있다. 1. 최초 실행시에 End of Central Directory로 이동. 2. End of Central Directory 에 있는 정보를 바탕으로 Central Directory 의 시작 위치로 이동합니다. 3. Central Directory 에서 정보를 읽고 End of Central Directory에서 Central Directory의 개수만큼 반복하여 End of Central Directory전까지 읽는다. 4. Central Directory에서 읽은 Local Header 위치로 ..