“구매했던 자료” -> “암호화”해서 하드에 숨겨놨다.
첫번째 키워드 두번째 키워드
처음에는 자료들을 뒤져볼까 하다가 너무 복잡해서 관뒀당.
https://maj3sty.tistory.com/1027
디스크 암호화와 디지털 포렌식
보안에서 가장 으뜸은 무엇일까? 방화벽? 백신? 보안 코딩? 물론 보안에 관련된 모든 기술들은 중요하다. 하지만 정보 유출은 어떤 방식으로든 일어날 수 있다. 정보가 유출된다 하더라도 그 의
maj3sty.tistory.com
이걸 조금 참고했당
두번째 키워드인 ‘암호화’에 다음으로 초첨을 맞춰봤다.
아까 문제에서 계속 썼던 History 파일을 DB에서 열고 살펴보다가 "Crypt"를 쳐봤다.
이렇게 뭔가가 나온다.
Veracrypt 라는 거를 볼 수 있다.
아까 이전의 문제들을 찾으면서 얻었던 정보를 이용하쟈.
포렌식_WEEK4_# NONamed Wargame Forensic_[b] 유출된 자료 거래 사건 [2]
파일 용량이 음청 크당 호달달ㄹ 저번 과제처럼 또 시각을 찾아보는 문제당. 저번처럼 최종적으로는 프리패치 파일을 이용해야 할 것 같기도 하구…?// 일단 파일 안에는 이런 파일이 있당. 또 ft
2myona.tistory.com
이 문제에서 얻은 정보를 가장 유용하게 사용한듯!
이때 파일명이 todaysmemo로 바뀌었던 것....
그래서
이 시점 이후로 파일들을 살펴보는데 넘 많음
그 중 눈에 띄는 파일
(사실 넘 어려워서 여기부터 구글링 의존 호달랃ㄹ)
일단 정리해보면,
문서를 생성하고 나서 ‘새 텍스트 문서’ -> ‘plan’으로 또 이름이 바뀌는 것을 확인해볼 수 있음.
그래서 이 문서를 계속 따라가 보면....
엄청 뭐가 계속 바뀌고 막 막 그런지만 암튼 잘 따라가 보면 삭제가 된다 결국!
아까 문제에서 "문서를 하드 어딘가에 암호화해서 숨겨뒀다"고 하니까....
이렇게 삭제되기 전에 암호화된 상태로 어딘가에 숨겨놨겠지!!
암튼…처음 ftk에서 파일을 분석해봤을 때, 가장 수상했던 게 파티션 3
파티션 3를 쭈욱 둘러보다가 이상한 파일들 발견
다시 확인을 해봤는데 aes를 보니 맞는 듯.
참고로 aes 밑에 있는 sha도 역시 암호화 방법 중 하나.
그래서 여기를 들어가서 더 살펴보다가 가장 수상한 파일 발견.
파티션3에서 일단 추출
이후 더 공부해보면서
https://m.blog.naver.com/mot_sos/222031041972 참고.
안티포렌식 베라크립트VeraCrypt를 이용한 암호화
데이터를 은폐하기 위해 파일 이름 변경, 파일 속에 파일 숨기기, 추측하기 어려운 디렉터리에 파일 숨기기...
blog.naver.com
Veracrypt 라는 툴도 설치해줌.
이 툴을 이용해서 아까 추출한 파일을 열어줘야 함.
아까 얻었던 pw도 사용!
(pw:thisispwthisispw)
위에서 준 pw 써서 성공
요런 칭구 등장
이런 내용이 있는 txt 파일이 열린다.
풀이가 정말 두서 없다....
왜냐면 정말 두서 없이 이 문제를 풀었기 때문.........
사실 여기서 잘 이해 못하고 넘어간 부분도 있어서 좀 풀이에 비약이 있다.
앞에서 여러 문제들을 다 해결하다가 이 마지막 문제에 다다라서 힘이 딸렸는지는 모르지만 암튼 넘 힘든 문제였음 ㅠ
'포렌식 > NONamed Wargame' 카테고리의 다른 글
| CTF_WEEK2_# NoNamed wargame [infect] (0) | 2021.02.08 |
|---|---|
| 포렌식_WEEK3_# NONamed Wargame Forensic_[b] 유출된 자료 거래 사건 [3] (0) | 2021.02.08 |
| 포렌식_WEEK3_# NONamed Wargame Forensic_[b] 유출된 자료 거래 사건 [2] (0) | 2021.02.08 |
| 포렌식_WEEK3_# NONamed Wargame Forensic_[c] 우리의 추억들/SWING 내부 해킹대회 출제 문제 (0) | 2021.02.08 |
| 포렌식_WEEK1_# NONamed Wargame Forensic_[A] 입사테스트 [2] (0) | 2021.02.05 |
