포렌식/NONamed Wargame (9) 썸네일형 리스트형 CTF_WEEK2_# NoNamed wargame [infect] 이 파일을 다운받아서 확인해보자. 열리지 않고 속성에서도 뭐 특별한 점은 보이지 않는당. FTK Imager라는 툴을 다운받아 파일을 확인해보자. 잠깐 이 툴에 대해 공부를 하고 가쟈면~~ * FTK Imager 기본 & 사용법 : 일단 대충 삭제한 파일을 복구해 주는 프로그램인 것 같다. 또 사본을 생성해주는 기능도 있다. 정리하자면 - 데이터 저장 매체 : 여러 저장 공간으로부터 데이터 수집 가능 - 수집 도구 : 이미지 복제, 사본 생성 - 이미지 포맷 제공 : 거의 모든 이미지 타입을 지원 -> 이 포맷을 바탕으로 증거 파일 생성 - -> 포렌식 증거 생성에 유용! 이 툴의 여러 가지 기능 중에서 이 문제 해결에는 어떤 걸 써야될까. https://k-dfc.tistory.com/34 참고 FTK.. 포렌식_WEEK3_NONamed Wargame Forensic_# [b] 유출된 자료 거래 사건 [4] “구매했던 자료” -> “암호화”해서 하드에 숨겨놨다. 첫번째 키워드 두번째 키워드 처음에는 자료들을 뒤져볼까 하다가 너무 복잡해서 관뒀당. https://maj3sty.tistory.com/1027 디스크 암호화와 디지털 포렌식 보안에서 가장 으뜸은 무엇일까? 방화벽? 백신? 보안 코딩? 물론 보안에 관련된 모든 기술들은 중요하다. 하지만 정보 유출은 어떤 방식으로든 일어날 수 있다. 정보가 유출된다 하더라도 그 의 maj3sty.tistory.com 이걸 조금 참고했당 두번째 키워드인 ‘암호화’에 다음으로 초첨을 맞춰봤다. 아까 문제에서 계속 썼던 History 파일을 DB에서 열고 살펴보다가 "Crypt"를 쳐봤다. 이렇게 뭔가가 나온다. Veracrypt 라는 거를 볼 수 있다. 아까 이전의 문제.. 포렌식_WEEK3_# NONamed Wargame Forensic_[b] 유출된 자료 거래 사건 [3] 이번엔 동거자의 이름을 알아내라고 하네…. (제목에서도 알 수 있듯이 이전 글들에서 풀었던 문제들과 모두 연결되는 문제이댜..!!) “계정이 삭제됐다” 라는 게 중요한 단서처럼 보인다. 전 문제처럼 ftk를 이용하자 처음에는! 일단 당연히 ‘계정’이니까 users에 들어갔다. 여기서 cocktail과 nonamed가 두 계정인 것으로 보인당. 근데 nonamed가 주인이니까 cocktail이 동거자겠당. https://kali-km.tistory.com/entry/Windows-Event-Log-1 Windows Event Log (1) – 이벤트 로그의 개념 1. 이벤트 로그 로그란 감사 설정된 시스템의 모든 기록을 담고 있는 데이터라 할 수 있다. 이러한 데이터에는 성능, 오류, 경고 및 운영 정보 .. 포렌식_WEEK3_# NONamed Wargame Forensic_[b] 유출된 자료 거래 사건 [2] 파일 용량이 음청 크당 호달달ㄹ 저번 과제처럼 또 시각을 찾아보는 문제당. 저번처럼 최종적으로는 프리패치 파일을 이용해야 할 것 같기도 하구…?// 일단 파일 안에는 이런 파일이 있당. 또 ftk imager로 열어봤땅. 문제에서 파일을 입수한 경로를 찾아보라고 말했으니까 그걸 중점적으로 보자. 엄청난 경로를 거쳐서 드디어 유용한 파일을 찾았다. 이걸 추출해서 살펴보자. 지난번 과제를 하며 깔아둔 DB 뭐시기를 이용해서 파일을 분석해보쟈. 이 중에서도 ‘경로’를 찾아야 되니 url로 들어가보자. 엄청 많다…. 여기서 뭔가 수상한 기록을 찾아야하는데 다 수상해보인다.. Confidential_Doc 기억해두자. NTFS Log Tracker -blueangelf 요걸 다운 받아서 더 살펴보쟈. https:.. 포렌식_WEEK3_# NONamed Wargame Forensic_[c] 우리의 추억들/SWING 내부 해킹대회 출제 문제 이렇다. 저 주소로 들어가봤다. 다운로드한 뒤에 압축을 시도하니 이렇게 나온당. pw: fun_cool_and_sexy_forensic_>< 아까 주어진 비밀번호가 있다. 저 비밀번호를 넣어 주니 압축이 풀린다. 대충 안에 있는 파일들은 저렇게 되어 있다. 이제 다시 문제로 돌아가서, 문제의 목적이 뭐였는지 다시 상기해보쟈. 어떤 사진을 지웠고, 이를 복구해달라는 것이 문제의 요구였다. Ftk imager을 사용해야겠지..??? Ad1파일도 보이니 딱일 것 같다. 열어서 확인해봤다. 휴지통이 보이길래 들어가봤다. 여러 파일들이 있당. 올 이거 외에 꽤 많은 png, jpg 파일들이 있다…. 어디서 봤나 했는데 내가 저번에 요약 정리에서 정리를 했었다. 2myona.tistory.com/29 디지털 포렌식.. 포렌식_WEEK1_# NONamed Wargame Forensic_[A] 입사테스트 [2] 이미지 파일을 복구하는 문제라구 한다. 파일을 다운받아서 열어보니 역시 이상하다…. 잘 열리지 않는다.. 속성을 확인해 보아도 별게 없다… WinHex로 분석해보쟈. 분석을 통해 알 수 있게 되었따. 이 문제도 1주차에 풀었던 다른 문제들 처럼 "시그니처" 관련 문제이다. 이 파일에서는 헤더, 푸터 모두 잘못된 형태를 띄고 있다. 그래서 이 시그니처를 올바르게 바꿔주었다. 근데 여전히 파일이 이상하다…. 오잉 머지 그래서 좀 더 알아보다가 "청크"라는 개념에 대해 알게 되었다. 요렇게 나와있다. 엇 근데 저기 IHDR이 눈에 익다. 아까 그 파일에서 IHDR이 있었다. Jpg로 괜히 바꾼 것 같다는 생각이 들었다… 사실 png파일이었던 건가..?? 그래서 png파일의 헤더, 푸터 시그니처로 다시 바꾸었다.. 포렌식_WEEK1_# NONamed Wargame Forensic_magic IMAGE 파일을 일단 다운받아서 열어보았다. 이렇게 아무것두 안뜬다…;0; 혹시 몰라서 파일 속성을 확인해 보았다. 혹시나 했는데 역시 첫번째 문제와는 다른 방법을 풀어야 하는 것 같다… 이 파일은 용량에는 문제가 없어 보인다. 아까 사용했던 WinHex를 이용해서 파일을 분석해보자. 일단은 감이 안와서 다른 일반적인 png파일을 hex 분석하면 어떤식으로 결과가 나오는지 검색해 보았다. 분석을 통해 알게 되었다. 이 문제는 "시그니처" 관련 문제이다! *정~~리~~* 파일 확장자 : .jpg, .png같은거... *** 주의해야 하는 거 : HxD같은 거로 파일 형식 바꿔서 다시 저장할 때, 파일 이름에 확장자가 적혀져 있으면 그거 때문에 다른 형식으로 제대로 안 바뀌어서 저장될 수 있음... ex : 바보.j.. 포렌식_WEEK4_#NONamed wargame [Left Side B] 이릏게 나와있당. 제목이 힌트라는 것을 기억해두쟈. 파일을 다운받은 뒤에 압출을 풀어보니 이런 파일이 나온당. 아마 저거는 가짜 플래그값이라는 것 같다. 일단 파일은 *bmp 형식이다. (*비트맵 디지털 그림을 저장하는 데 쓰이는 그림 파일 포맷) 이것도 일단 간단하게 HxD로 먼저 분석을 해보쟈. 일단 bmp파일의 시그니처는 이렇다. 여기 참고! http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com 보니까 헤더는 정상인데 푸터가 이상하다... Whyrano.... 엄청 많은 FF와 FE가 뒤섞여있다. 둘이 형태도 거의 비슷해서 잘 구별이 안간당.. https:.. 이전 1 2 다음
