본문 바로가기

전체 글

(68)
[SuNiNaTaS] Forensic 15 문제 파일 : diary.mp3 사용한 Tool : 010Editor.exe 문제 : "Do you like music? Hint : AuthKey is in this file." 음악을 다운받으면 확장자가 mp3 파일이 나오는데, 010Editor로 분석을 한다.열어서 하나둘씩 보게되면 Tag 쪽에 값이 보인다. 파일의 속성 부분에서 TAG를 확인 해봐도 된다. Answer : GoodJobMetaTagSearch
[SuNiNaTaS] Forensic 14 문제 파일 : evidence.tar 사용한 Tool : john180j1w(John the Ripper) 문제 : "Do you know password of suninatas?" 문제파일을 압축해제 하면 두개의 파일이 보이는데 passwd과 shadow 파일이다. ex) root : x : 0 : 0 : root : /root : /bin/bash root - 사용자 계정x - 사용자 비밀번호 (x로 되어있는 이유는 shadow 패스워드 시스템에 의해서 shadow 파일에 저장된다.)※ shadow 패스워드 시스템 - passwd 내용은 수정은 못하지만 아무나 볼수있다. 그래서 shadow 패스워드를 사용하게 되면 /etc/passwd에 있는 패스워드 부분을 /etc/shadow에 두고서 root만 ..
[Crescendo] File Delete Problem 02 문제 파일 : File_Delete_002.E01사용한 Tool : AccessData FTK Imager 4.1.1.1.exe문제 : 'USB 안에 들어있던 중요한 ID값이 적힌 파일을 삭제를 하였고, 파일을 복수 시켜 플래그를 획득하라.' File_Delete_002.E01 파일은 FTK Imager로 열어서 unallocated space에 들어가서 087104를 보게되면 flag값이 보인다. 파일을 Export 하여 WinHex로 보게되면 PNG 파일이라는것을 확인할수 있다. 그리고 NTFS Log Tracke를 사용하여 로그를 보게되면 파일이름이 lastfile.png 라는걸 확인 할수 있다. Answer : 60a1f926-c87c-45d3-a4ff-be0ecbfc7caa
[Crescendo] File Delete Problem 01 문제 파일 : File_Delete_001.E01사용한 Tool : AccessData FTK Imager 4.1.1.1.exe문제 : '삭제한 파일을 찾아 플래그를 획득하시오.' E01 파일을 FTK Imager로 열면 flag.pdf 파일이보이는데 아이콘에 X 가 쳐져있는데 삭제가 되었다는 표시다. 파일을 오른쪽 클릭을 해서 Export Files를 선택해서 열게되면 flag를 얻을수 있다. Answer : L0v3_Forens1cs
[Crescendo] Hidden File Problem 01 문제 파일 : File.7z사용한 Tool : TrueCrypt.exe (v7.2), volatility-2.4.standalone.exe,Passware Kit Forensic 10.1.exe, WinHex.exe, AccessData FTK Imager 4.1.1.1.exe문제 : '본 메모리 덤프를 통하여 숨겨진 password와 파일안에 숨겨진 Flag를 찾아라' File.7z을 풀게 되면 두개의 파일이 있다. 일단 volatility를 사용하여 truecrypt의 password부터 알아보자. > volatility-2.4.standalone.exe -htruecrypt에 관한 명령어는 3가지가 있는데,truecrytmaster Recover - Master Key file 추출truecrytp..
[Crescendo] Stego Problem 01 문제 파일 : image.png사용한 Tool : WinHex.exe문제 : '기계 설계도면을 찾아 해당파일의 SHA-1 해쉬값을 찾으시오' PNG 파일을 열면 아래와 같은 이미지가 보인다. 그리고 이미지 왼쪽상단을 보게되면 숫자가 적혀져있는데 일단 이것도 필요한거 같으니 알아둔다.(5826) 이미지 파일을 WinHex.exe로 열면 PNG 헤더 시그니처가 보인다. 그리고 푸터 시그니처를 보게되면 PNG 푸터 시그니처가 아닌 생뚱맞은게 보인다. 그럼 PNG 푸터 시그니처를 찾아본다. 그리고 뒤에 값을 보게되면 익숙한 시그니처가 보이는데 zip 파일 시그니처가 될꺼같다.(ZIP DOCX PPTX 시그니처는 같은데 뒤에 오는 값이 다르다.) PNG 헤더 시그니처 89 50 4E 47 0D 0APNG 푸터 시..
[Crescendo] NTFS Log 1 문제 파일 : LOG.zip사용한 Tool : analyzeMFT.exe, NTFS_Log_Tracker_CMD_v1.41.exe문제 : 'Everything-1.3.4.686.x86.Multilingual-Setup.exe가 생성된 시각을 찾으시오' 문제 파일안에 세개의 파일이 보인다. 압축을 해제해서 폴더를 보게되면 파일들이 보이지 않는데, 커맨드 창에서 dir /a 명령어를 사용하게되면 파일이 보인다. analyzeMFT.exe를 사용해서 $MFT를 먼저 봤다. 그리고 파일명을 검색을 해서 생성 시간을 보게되면2016-10-13 2:42:29 PM 이라는 것을 확인 할수있다. 그리고 $LogFile도 보이니 NTFS_Log_Tracker_CMD_v1.41.exe를 사용하여 본다.NTFS_Log_Tr..
[Crescendo] 오늘은 국군의날 문제 파일 : diary.exe사용한 Tool : WinHex.exe, HexCmp.exe, GMER.exe문제 : '난중일기에 숨겨진 메시지를 찾자' 문제 파일을 실행시켜 압축을 풀게되면 10개의 txt파일이 있다. 파일을 열어보면 난중일기가 쓰여져 있다. 처음에 문제를 제대로 읽지 않고 diary.exe 파일 부터 분석을 시작하고 해서 그런지 많이 귀찮은 문제였다. 파일을 다읽어보면 그렇게 나올 내용이 없어서 WInHex로 열어봐도 나오는 건 없었다. 혹시나 다른게 숨겨져있나 싶어서 파일 내용만 복사한것을 따로 만들어서 원본파일이랑 HexCmp를 사용해 비교해 보기도 했는데 나오는건 없었다. 검색중 NTFS File System의 숨겨진 영역인 ADS(Alternate Data Stream)에 dat..