write up
-
Memory - GrrCON 2015 #17$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:50
보안 관리자 컴퓨터로 접근해서 비밀번호를 덤프 떳다고 합니다. cmdscan을 이용해서 cmd로 어떤 작업을 했는지 확인해 보겠습니다. wce.exe 를 이용해서 w.tmp라는 파일로 내보내기 한것 같습니다. w.tmp 라는 파일을 스캔해서 추출해 보겠습니다. 0x000000003fcf2798 입니다. dumpfiles 플러그 인을 이용해서 추출까지 완료해 보겠습니다. 해당 파일을 에디터로 확인해 보겠습니다. Flag : t76fRJhS 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #16$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:49
일단 원격 접근을 했다는 것을 알수 있고, 연결한 IP주소를 찾는 것이기 때문에 네트워크를 볼 필요가 있습니다. netscan 플러그인을 이용해서 확인해 보면 아래와 같이 IP와 프로그램을 알수 있습니다. mstsc.exe 라는 프로그램에 10.1.1.21 이라는 IP가 연결 되어 있는데 mstsc.exe 는 Microsoft Windows의 소프트웨어 구성 요소로 Microsoft 터미널 서비스 클러이언트 원격 관리 서비스 입니다. 그렇기 때문에 답은 10.1.1.21 입니다. Flag : 10.1.1.21 출처 : 디지털 포렌식 with CTF
-
2020 NEWSECU CTF write up$ Capture The Flag $ 2020. 2. 23. 12:51
File Forensic Disk 문제 파일을 압축 풀어보면 아래와 같이 newsecu 라는 파일이 하나 나옵니다. 파일의 hex값을 확인해보면 아래와 같습니다. 알 수 없는 값을 띄고 있지만, 비밀번호를 같이 준것으로 보아 TrueCrypt로 암호화 했을 가능성이 있습니다. TrueCrypt를 이용해서 mount를 해보겠습니다. mount가 완료 되었고 디스크 안에 있는 파일을 확인해 보겠습니다. 50.0MB 짜리 가상 하드디스크 인 vhd 파일이 존재합니다. 하지만 마운트를 하기 위해서 Arsenal Image Mounter를 이용했지만 아래와 같은 창이 출력 됩니다. 데이터가 손상된 것 으로 확인이 됩니다. hex값을 확인해 보면 PASSWORD RECOVERY 라는 문자열을 확인 할 수 있습니다...
-
NeverLAN CTF Write up$ Capture The Flag $ 2020. 2. 14. 16:18
Forensic Listen to this 해당 문제를 다운해보면 mp3 파일이 하나 있는데 해당 파일을 Audacity 에 넣어 보겠습니다. 파일을 넣고 나서 스펙트럼으로 바꿔서 맨 앞부분을 보면 위와 같이 어떠한 값을 확인 할 수 있습니다. 2개의 채널을 보면 위에 채널은 특정값이 없는 부분이고, 아래의 채널은 특정 값이 있는 부분입니다. 그렇기 때문에 아래의 채널 - 위의 채널 을 해보면 모스부호만 추출할 수 있을 것 같습니다. sox 라는 프로그램을 이용해서 2개의 채널을 분리 한다음 차이점을 파일로 추출할 수 있습니다. 아래의 명령어로 sox 를 설치 할 수 있습니다. 2개의 파일을 추출 합니다. 그리고 아래의 명령어로 차이점을 추출해 낼수 있습니다. Audacity 를 확인해 보면 아래와 같이..