이부리.zip

문제 파일을 다운받고 Hxd에 넣으니 ' FF D8 FF E0 xx xx 4A 46' 로 시작하는 jpg파일이 있다. jpg파일이므로 EOF인 FF D9를 찾아보니 54개나 존재하고 이 jpg파일 자체가 FF D9로 끝이 나지 않는다. 맨 처음에 존재하는 FF D9가 EOF가 되도록 파일을 추출해서 jpg파일로 저장해보니 파일이 손상되지 않고 그대로 유지된다. 그래서 맨 앞의 FF D9가 찐 FF D9라고 유추하여 그 다음 오프셋을 보았다. 익숙한 문자열 'ftyp'를 확인하여 다음 오프셋부터가 mp4파일임을 알 수 있다. 그 후 앞의 jpg파일을 잘라내고 .mp4로 변경해주면 다음의 video를 얻을 수 있다. 이 과정에서 mp4의 파일 시그니쳐에 맞게 ' 00 00 00 20 66 74 79 70' ..

(~정공법) 그래서 7-zip을 통해서 압축을 해제해보니 format_it을 hxd에 넣어보니 시그니쳐부터 png이라고 쓰여있는데 IEND가 없길래 49 45 4E 44를 추가하였다. 확장자 .png 를 추가하고 열어주니 flag.rar의 암호 도출 얻은 암호로 flag.rar을 풀어주니 (정공법) zip파일 구조 local file header sig : 50 4B 03 04 central directory sig : 50 4B 01 02 end of central directory sig : 50 4B 05 06 end of central directory부터 읽어보자 디스크 파일 개수(E0 5~06 부분)을 보면 2개임을 확인할 수 있다. 또한, Central directory의 시작 오프셋(E0 ..

문제를 읽어보자면 여동생이 그림을 그리다가 컴퓨터에 충돌이 일어났으며 그 순간 무언가가 실행되며 검은창이 떴다. 중요해보이는 3개의 파일들에 flag를 심은 듯하다. 메모리덤프를 복구해보자 다운로드를 받아보면 다음의 raw파일이 있다. imageinfo plugin을 통해서 이 운영체제의 정보를 알아볼 수 있다. 운영체제 : Win7SP1x64 (메모리 덤프의 분석은 해당 시스템의 운영 체제 및 커널 버전에 의존하기에 이후의 명령어에서 --profile 옵션을 통해 운영체제를 입력해주자) pslist plugin을 통해 pslist로그를 생성하여 시간 순으로 사용한 프로세스를 알아보자. - cmd.exe 0xfffffa8002222780 cmd.exe 1984 604 1 21 1 0 2019-12- 1 ..

보호되어 있는 글입니다.

7-zip을 통해서 압축해제를 먼저 해주고 imageinfo 명령어를 통해 메모리 덤프의 운영체제는 WinXPSP임을 확인 windows 7 미만의 OS이므로 connections 명령어를 사용한 결과, 현재 IP '1.226.182.38' 와 원격으로 연결되있으며, 연결된 프로세스의 ID는 1124이며, 나의 IP에 80번 포트로 연결된 것을 확인할 수 있다. pslist 명령어를 통해 프로세스를 시간 순서대로, pstree명령어를 통해 PID, PPID기준으로 구조화된 형태로 볼 수 있는 log파일을 생성한다. PID가 1124인 nc.exe가 시간적으로 후반에 실행되었으며, 이를 통해 cmd.exe가 두번 실행된 것을 보아 의심스러운 파일로 볼 수 있다. psxview의 결과를 보았을 때, nc.e..

파일을 다운받으니 Windows.edb파일이 있다. EDB(exchange database)파일이란? Microsoft Exchange Server에서 사용되는 데이터베이스 파일이다. Windows.edb는 Windows 운영체제에서 windows search 기능을 위해 파일 시스템 전체를 인덱싱한 결과로써 파일구조, 인터넷 마지막 방문페이지, 접속 기록, OneNote 노트명, 내용 등을 확인할 수 있다. windows.ebd파일을 분석하기 위해 WinSearchDBAnalyzer 툴을 다운받아 넣어보면 다음과 같이 windows 시스템정보들을 확인할 수 있다. 파일들 중 hunjison씨의 Desktop/에서 flag.txt를 찾았으며 그에 대한 정보는 오른쪽의 preview에서 확인할 수 있다. ..

Digital Forensics 14번 다운을 받아보니 다음과 같은 evidence.tar파일이 존재한다. 리눅스에서 tar파일을 unzip해보자. $tar [옵션] [파일 및 dir목록] // 옵션 목록 -c : 파일압축 -x : 파일해제 -f : 압축할 파일 이름 지정 -v : 작업과정 출력 -z : gzip 사용하여 작업 -j : bzip2 사용하여 작업 -C : 특정 dir에서 작업 /passwd : 사용자 계정과 관련된 정보를 저장하는 파일 /shadow : passwd파일과 함께 사용되어 사용자 계정과 관련된 비밀번호를 저장하는 파일 이때, 두번째 필드는 암호화된 패스워드이며, $로 구별 //2nd field $algorithm_id $salt $encrypted_password // algo..

volatility란? 메모리 포렌식 도구, 오픈소스, CLI인터페이스 volatility 명령어 정리 운영체제 식별 imageinfo : 메모리 덤프의 운영체제를 식별 프로세스 검색 plist : 시간 순서대로 보여줌 psscan : 숨겨진 프로세스 출력 가능 pstree: PID, PPID 기준으로 구조화하여 보여줌 psxview : pslist, psscan을 포함한 도구의 결과를 한 눈에 볼 수 있음 네트워크 분석 netscan : Window 7이상 : TCP/UDP로 통신하는 모든 프로토콜 조회, IPv4와 IPv6지원 : listening(소켓을 열고있음), established(통신중), closed(소켓 닫음)의 상태가 있음 conections : Window 7미만 : 현재 연결된(es..

1. 디지털포렌식이란? : 디지털 디바이스를 대상으로 자료를 수집하고 추출하여 조사하는 법과학의 한 분야 2. 디지털 포렌식의 필요성 : 해킹 등 컴퓨터 관련 범죄 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐 : e.g. 스마트폰 내 GPS 동선, 온라인 협박 : 범죄 수사 이외의 분야에서 활용도 증가 : e.g. 민사사건, 일반기업(내부 정보 유출, 회계감사 등) 3. 디지털 포렌식의 유형과 대상 (유형) 1. 침해사고대응 : 실시간, 사태 파악 및 수습, 엄격한 입증 필요X 2. 증거 추출 : 사후조사, 범죄 증거 수집, 엄격한 입증 필요O (대상) 1. 디스크 포렌식 : (OS/ 개인,서버 클라우드 등에 따른) 컴퓨터 디스크 2. 메모리 포렌..