forensic13 [보고서] 수집, 분석도구 기재요령 도구명 제조사 버 전 다운로드 경로 해시값(종류) 용도 WinHex X-Ways 18.4.2 http://www.x-ways.net/winhex/ MFT분석 FTK Imager Access Data 3.3.1 http://accessdata.com/productdownload 이미지 생성 Volatility 2.3.1 https:/code.google.com/p/volatility/ 메모리 분석 2021. 9. 16. [DigitalForensic] with CTF : 우리는 이 파일에 플래그를... 파일에 플래그를 넣었지만 오는 길에 엉망이 되었다고 한다. 파일을 다운로드 받아서 확인을 해보자. HxD로 확인한 결과이다. Header를 보면 1F 8B 08로 되어 있는데 이것은 GZ의 확장자다. forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com 확장자를 .gz로 바꾸어 압축을 풀었더니 flag가 나왔다. Flag : ABCTF{broken_zipper} 2021. 1. 3. [Suninatas] Forensic 28 풀이 _ Zip File Format 파일을 다운로드한 후에 압축 파일을 풀려고 하면 비밀번호를 입력하라고 한다. 힌트에 brute-force 공격은 필요하지 않다고 하니 파일 구조를 살펴보자. 파일이 3개 있으므로 위와 같은 구조가 되어 있을 것이다. Local File Header 와 Central Directory 부분의 Flags에 09 08이 들어가 있어 암호화가 안되어 있지만 있는 걸로 인식하는 것 같다. 09 08을 00 00으로 모두 변경시키면 암호화가 모두 풀릴 것이다. 압축 파일들을 보면 *이 붙어있어 암호화가 되어 있다는 것을 알 수 있다. 09 08을 모두 00 00으로 변경하자. *이 모두 사라진 것을 확인할 수 있다. Am_I_Key2.txt와 Am_I_Key3.txt에는 Dummy가 들어있다. Am_I_Key.zi.. 2020. 11. 12. [Suninatas] Forensic 26 풀이 _ Frequency analysis 띄어쓰기와 .을 지웠다고 한다.. Frequency analysis 를 보니 빈도 분석을 이용하여 치환 암호를 해독하는 문제인거 같다. import collections string = "szqkagczvcvyabpsyincgozdainvscbnivpnzvbpnyfkqhzmmpcqhzygzgfcxznvvzgdfnvbpnjyifxmpcqhzygbpnoyaimygbzgngbvmpcqhzygcbpinnbzqndicgxhiztozgcfmpcqhzygbpnjyifxeagzyimpcqhzygbpneagzyidicgxhiztozgcfmpcqhzygcgxcoyaibzqnvyabpsyincggcbzygcfmpcqhzygszqzvbpnozivbvyabpsyincgozdainvscbnibyjzgcqnxcfcbcgzvaeag.. 2020. 11. 12. [Suninatas] Forensic 21 풀이 _ Steganography 자 때문에 AuthKey가 안보인다.. ㅠ 이미지를 다운받아서 분석을 시작해보자. HxD로 열고 jpg의 푸터인 FF D9를 검색하니 밑에 또 다른 데이터가 있었다.. 아마도 JPG 밑에 다른 데이터들을 숨겨 놓아 Key를 넣었을 것 같다. 맨 밑에서 부터 헤더인 FF D8 FF E1 까지 복사하여 사진들을 추출해 보았다. 5장 정도 더 있는거 같았는데.. 이미 AuthKey가 다 보여서 그만 했다. Solution Key is H4CC3R_IN_TH3_MIDD33_4TT4CK 2020. 11. 8. [Suninatas] Forensic 19 풀이 _ Bin to string [Forensic 19] 2진수를 문자열로 변경을 해보자. string = """ 0100111001010110010000110101010001000110010001000101 0110001000000100101101000110001000000100101001001100 0100010101011010010001010101001001001011010100100100 1010001000000101001001000101010101010010000001001011 0100011001010101010100100101000000100000010110100100 1010001000000101001000100000010110000100011001000110 0101010100100000010101010101001001.. 2020. 11. 8. [Suninatas] Forensic 16 풀이 _ Ascii to string [Forensic 16] 음.. Ascii 코드인거 같다. python을 통해 ascii to string 을 만들어 보자. 출력값을 보니 base64로 디코딩을 한번 더 해야 할 것 같다. AuthKey는 VeryVeryTongTongGuri라고 한다. 2020. 11. 7. [Suninatas] Forensic 15 풀이 _ Meta Tag [Forensic 15] 너는 음악을 좋아하니 ? 파일에 AuthKey가 있다고 한다. Play The Music을 누르면 음악이 재생이 된다. 다운로드 하여 분석을 진행해 보자. 파일 속성의 자세히쪽에 가보니 AuthKey가 바로 나왔다.. 2020. 11. 7. [Suninatas] Forensic 14 풀이 _ John The Ripper 사용 [Forensic 14] suninatas의 비밀번호를 알아야 할 것 같다.. Download를 클릭하면 evidence.tar를 다운 받을 수 있고, 안에는 passwd 파일과 shadow 파일이 있다. passwd 파일은 리눅스 계정 정보를 담은 파일이고, shadow는 패스워드를 저장하는 파일이다. 왼쪽이 passwd, 오른쪽이 shadow 파일 내용이다. (notepad++로 열어 보았다.) root:$1$9L2L0oTwd:12751:0:99999:7 : : : ① ② ③ ④ ⑤ ⑥⑦⑧⑨ ① 필드 1 : 사용자명 ② 필드 2 : 패스워드 ③ 필드 3 : 패스워드 파일 최종 수정일 ④ 필드 4 : 패스워드 변경 최소일 ⑤ 필드 5 : 패스워드 변경 최대일 ⑥ 필드 6 : 패스워드 만료 경고기간 ⑦ .. 2020. 11. 7. [Forensic] 세월호 카카오톡 복구 세월호 침몰 사고는 2014년 4월 16일 오전 8시 50분경 대한민국 전라남도에서 세월호가 전복되어 침몰한 사고이다. 이 사고로 탑승자 476명(잠정)중 172며이 구조되고 304명이 사망, 실종되었다. 이 사고의 생존율은 36.1%로 매우 저조했다. 세월호 선조위(선체조사위원회) 등에 따르면 모바일 포렌식 전문업체 모바일랩은 세월호에서 나온 휴대전화 수십대를 선조위로 부터 전달받았다. 참사 직후 며칠 만에 인양된 휴대전화의 데이터 복구율은 50%를 넘었으나 오랬동안 잠겨 있던 기기는 복구율이 매우 낮았다. 포렌식 보고서에는 사진, 영상, 음성 등 미디어 파일과 문자메시지, 통화목록등이 있었다. 그래도 3년이나 바닷물에 잠겨 있던 기기의 데이터를 복구하는 데 성공한 것은 매우 이례적인 일이였다. 복구한.. 2020. 6. 1. [Forensic] 원세훈 자택 화염병 투척사건 정리 원세훈 그는 누구인가?- [2009~2013] 이명박정권 시절 국가정보원의 원장 - 뇌물수수와 여론조작 지시, 지휘 등의 범죄 혐의로 인하여 2013년 불구속 기소- 불법 정치관여 및 선거개입 지시를 했다.- 오늘의 유머, 뽑뿌, 보배드림 이외에 네이버, 다음, 네이트 등 포털, 일간베스트저장소, 디시인사이드 등 여러 사이트에서 활동이 확인되었다. [위키백과] 원세훈[위키백과] 국가정보원 여론 조작 사건 2013년 5월 5일 원세훈 자택에 누군가 화염병을 던졌다. 그 범인을 잡기위해 경찰은 CCTV를 분석하여 2주만에 한 회사원을 긴급체포를 했다. 하지만 낮은 화질로 인해 범인의 얼굴 식별은 되지 않아 경찰은 걸음걸이 기법을 제시하여 구속영장을 발부했다. [중앙일보] 지문도, 얼굴도 없는 살인범... 걸.. 2020. 5. 31. [Forensic] Foresic? Digtal Forensic? 포렌식이란? [Forensic] Forensic?- 고대 로마시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래- 법의학적인, 범죄 과학 수사의, 법정의, 재판에 관한 이라는 의미를 가지고 있는 형용사다.- 즉, 과학 수사 라고 생각하면 된다. (범죄현장에 남은 지문이나 DNA 등을 분석하는것도 포함) Digital Forensic?- 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업- 디지털 증거물을 분석하여 수사에 활용하는 과학수사 기법의 총칭. - 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법- 즉, 디지털 기기에서 발생한 것들을 밝혀 내는 것이다.- 최근에는 내부감사를 위해 Digital.. 2020. 5. 31. [OS] 파일 시스템(File System)이란? [File System] #2019.07.29 파일 시스템 - 컴퓨터에서 파일이나 자료를 쉽게 발견 할 수 있도록, 유지, 관리하는 방법이다.즉, 저장매체에는 많은 파일이 있으므로, 이러한 파일을 관리하는 방법을 말한다. - 사용자 영역이 아닌 커널 영역에서 동작- 파일을 빠르게 읽기, 쓰기, 삭제 등 기본적인 기능을 원활히 수행하기 위한 목적 파일 시스템 특징- 계층적 디렉터리 구조를 가진다.- 디스크 파티션 별로 하나씩 둘 수 있다. 파일 시스템의 역할- 파일관리 : 파일 저장, 참조, 공유- 보조 저장소 관리 : 저장 공간 할당- 파일 무결성 메커니즘 : 파일이 의도한 정보만 포함하고 있음을 의미- 접근 방법 : 저장된 데이터에 접근할 수 있는 방법 제공 파일 시스템 개발 목적- HDD와 메인 메모.. 2019. 7. 29. 이전 1 다음