전체 글 (68) 썸네일형 리스트형 [SuNiNaTaS] Forensic 32 문제 파일 : USB_Image(SuNiNaTaS) 사용한 Tool : HxD.exe, FTKimager.exe 문제 : "Terrorist" 문제에서 Hex Editor로 둘러보다 실수로 특정부분이 손상이되었다고한다.이미지를 HxD.exe로 열어서 확인해본다.Fat32 부트섹터 영역인데 다른건 괜찮은데 Signature 부분이 끝에 있지않고 앞으로 당겨져있다. Fat32 경우에는 부트섹터가 손상될것을대비하여 6번째 섹터에 내용을 백업해놓는데 두개가 같은지 확인을 해본다.( Signature (0x55AA)) 6번째 섹터에도 부자연스러운게 보인다 뭔가 앞으로 당겨진듯한 느낌이 있다. fsinfo(file system infomation) 부분도 Trail Signature가 비슷하게 당겨져 있는 느낌이다.. [SuNiNaTaS] Forensic 31 문제 파일 : Hello_SuNiNaTaS.pdf 사용한 Tool : PdfStreamDumper.exe 문제 : "PDF Analysis" PDF보면 이런 내용이나온다. 이 PDF를 분석하기 위해서 PDFStreamDumper 툴을 사용했다. Object 20에 보게되면 JAVA Script가 있는걸 확인할수 있다. 이 object를 Javascript_UI로 보게되면 이렇게 나오는데 바로 실행은 안되고, Base64 decode부분만 따로 빼서 decoding을 하면 뭔가나온다. Base64로 11번 decoding을 실행하면 "I am sorry, This is not key~!!"라는 문자가 나온다. 키가아닌걸 확인 하고 다른 object를 본다. Object 39에 보게되면 PDF가 하나더 숨겨.. [SuNiNaTaS] Forensic 30 문제 파일 : MemoryDump(SuNiNaTaS) 사용한 Tool : vol.exe, R-studio.exe 문제 : "Military" volatility를 사용해서 메모리파일을 분석한다. (imageinfo는 이미지 정보를 식별한다.) 1. 김장군 PC의 IP 주소는? profile을 Win7SP1x86으로 설정해주고 netscan 명령어를 실행시킨다.(netscan은 활성화 상태의 Network 연결정보를 보여주는데, Windows Vista와 7 그리고 Windows 2008 Server에서만 사용이 가능하다.)여기서 Local Address인 김장군 PC IP주소를 확인할수 있다. Answer : 192.168.197.138 2. 해커가 열람한 기밀문서의 .. [SuNiNaTaS] Forensic 29 문제 파일 : Windows7(SuNiNaTaS) 사용한 Tool : WinHex.exe, VMware Workstation Pro.exe, Index.dat Analyzer.exe 문제 : "Brothers" 파일을 WinHex로 열어보면 egg 시그니처를 볼수 있다. 파일뒤에 .egg를 붙이고 압축을 해제하면 VM 파일들이 보이는데 그중에 .vmx 파일을 실행시킨다.그러고 나면 Window7으로 부팅이 되고 메모장으로 작성한 문제가 나온다. 1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. 첫번째 문제를 해결하기위해 네이버에 들어가니 사이버 경찰청 차단화면으로 넘어가는걸 확인이되었다. 파밍인거 같으니 hosts 파.. [SuNiNaTaS] Forensic 26 문제 파일 : X 사용한 Tool : X 문제 : "Cipher III : Frequency analysis" 빈도수를 측정하여 단순친환하는 암호 문제다. 일단 빈도수가 제일 높은것은 E로 생각을해서 THE 단어부터 만들어준다. 그리고 아는 단어를 넣어보면서 here과 career 라는 단어를 만들어본다. 그리고 보니 chaOHZYG 라는 단어가 반복이 되는걸 확인 할수 있는데, cha로 시작하고 8글자 단어를 찾아본다. 그리고 찾은 단어는 포함이 안되어있으니 빼고 나서 보면 몇개 안되는데, 단어를 한개 선택해서 넣어본다. champion 이라는 단어를 넣었고 나머지는 하나하나 아는 단어를 채워가면 문제가 풀린다. Answer : kimyuna [SuNiNaTaS] Forensic 21 문제 파일 : monitor.jpg 사용한 Tool : WinHex.exe 문제 : "What is a Solution Key? Is it a Puzzle?" WinHex로 파일을 열어보니 이미지 파일의 헤더가 여러개가 보이는걸 확인할수있다. 전부 카빙할 필요는 없기때문에 Pictures 만 선택하고 Complete byte-level search 로 설정한다. 여러개의 이미지를 보고 키값을 찾아보면 된다. Answer : H4CC3R_IN_TH3_MIDD33_4TT4CK [SuNiNaTaS] Forensic 19 문제 파일 : X 사용한 Tool : X 문제 : "Cipher II : What is it? Binary로 디코딩 한다. 원하는 값은 안나왔지만 시저 암호로 풀어본다. ※ 카이사르 암호(Caesar cipher) 또는 시저 암호는 암호학에서 다루는 간단한 치환암호의 일종이다. 암호화하고자 하는 내용을 알파벳별로 일정한 거리만큼 밀어서 다른 알파벳으로 치환하는 방식이다. 예를 들어 3글자씩 밀어내는 카이사르 암호로 'COME TO ROME'을 암호화하면 'FRPH WR URPH'가 된다. Answer : PLAIDCTFISVERYHARD [SuNiNaTaS] Forensic 18 문제 파일 : X 사용한 Tool : X 문제 : "Cipher I : What is it? 86 71 57 107 89 88 107 103 9788 77 103 89 83 66 110 98 5057 107 73 71 82 104 101 83 52103 86 71 104 108 73 69 70 49100 71 104 76 90 88 107 103 9788 77 103 86 109 86 121 101 8690 108 99 110 108 85 98 50 53110 86 71 57 117 90 48 100 4999 109 107 104 많이 봤던 Cipher 문제인거 같아서 Ascii에서 Text로 변환해 보았다. 변환해봐도 읽을수 있는 글자는 나오지 않았지만, Base64로 한번더 디코딩을 하면 원하는 답이.. 이전 1 2 3 4 ··· 9 다음