(2021.02.07) 이용한 도구 hxd NoNamed Wargame - RE: xeh_desrev 역시나 파일을 볼 수 없다고 나온다. hxd 로 열어보니 manduu23.png 의 파일의 헤더 부분이 헤더시그니처가 아님을 알 수 있다. 푸터부분도 푸터시그니처가 보이지 않는다. 근데 문제 제목을 보면 RE: xeh_desrev 인데 거꾸로 해보면 RE: versed_hex 이고 이는 reversed_hex 이다. hex를 거꾸로 하면 된다는 건가 싶어서 헤더부분과 푸터부분을 다시 보니까 답이 보인다. 아예 지금 거꾸로 들어가있는 것 같다.. 공부해둔 파이썬을 사용할 기회!! 16진수값을 복사해서 txt파일로 저장해준다. 그리고 파이썬으로 txt 파일을 불러서 문자열을 거꾸로 저장해서 출력해준다. 아뿔..
(2021.02.04) NoNamed Wargame - [C] Left Side B hxd 를 통해서 보면 FF가 반복되는데 첫부분에는 FE 와 FF 가 불규칙적으로 반복되는 것을 볼 수 있다. (암알못의 암호핥기 – 스테가노그래피 – Hackerz on the Ship (wordpress.com) 여기 사이트를 보면 FF 와 FE 를 통해서 숨겨진 데이터를 알아내는 방법이 소개되어있다.) FE 는 0, FF 는 1 로 변환하여 이진수로 표현해주고, 이를 ASCII 코드로 다시 변환해주면 숨겨진 데이터를 찾아낼 수 있을 것 같다!! FE FF FE FE FF FF FF FE FE FF FE FE FF FF FF FE FE FF FE FE FE FF FE FE FE FF FF FF FF FE FF FF F..
(2021.02.03) 이용한 도구들 hxd openstego NoNamed Wargame - [A] 길에서 주어온 만두 파일을 열어보니... 이런 사진이 나온다 문제에서 비밀번호가 있어야 열린다고 한 것 같은데.. 나는 왜 사진이 열리는 지는 모르겠지만... 사진이 보인다 사진 파일이 주어졌으니 hxd 로 파일을 열어봤다 헤더부분은 문제가 없었지만 푸터부분을 보니 푸터시그니쳐 다음에 무언가 있다!! PASS:1234 라고 되어있는 걸 보니 비밀번호가 1234 였나보다.. 근데 비밀번호를 대체 어디에 이용하라는 건지.. 알 수가 없었다... 포렌식 공부 중에 스테가노그래피 툴을 알아보는게 있었는데 openstego 를 이용할 때 비밀번호가 필요하다 openstego 를 이용해서 풀어줘야하는 문제인 것이다..
(2021.01.29) 이용한 도구 FTK Imager veracrypt N0Named Wargame - [B] 유출된 자료 거래 사건[4] 해당 내용이 담긴 문서를 하드 어딘가에 암호화해두어 숨겨둔 것 같다. 찾아내자! 이 부분을 보니 3주차 공부에서 veracrypt 으로 하드를 암호화했다고 추측할 수 있을듯하다. 유출된 자료 거래 사건 [2] 풀면서 헛다리 잡았을 때 veracrypt 설치한 파일이랑 쳐본 내역을 봤다. 그런데 여기까진.. 알겠는데 그 이후로는 전혀 갈피를 잡지 못했다... partition 3 이 비어있는데 용량을 차지하는 것이 바로 이 partiotion 3이 디스크 암호화가 되어있는 것이었다.. FTK Imager 로 partition 3 을 export 해주고 veracryp..
(2021.01.29) 이용한 도구 FTK Imager event viewer N0Named Wargame - [B] 유출된 자료 거래 사건[3] 3주차 교육에서 공부했던 windows event log를 이용하면 될 듯하다. 관련 내용은 kali-km.tistory.com/entry/Windows-Event-Log-1 를 참고했다. event viewer 이용하면 되는 것 같음 event viewer 로 파일을 열기 위해서는 eventlog 파일이 필요하다 윈도우 이벤트 로그에는 총 4가지의 로그가 있다. 시스템 로그: system.evtx 설치 로그: setup.evtx 보안 로그: security.evtx 응용프로그램 로그: application.evtx 이 문제에서는 동거자의 계정에 대해 알아내야..
(2021.01.28) 이용한 도구 FTK Imager DB Broswer SQLite NTFS Log Tracker N0Named Wargame - [B] 유출된 자료 거래 사건[2] FTK Imager 로 열어준다. 문제를 다시 읽어보면서 힌트가 될만한 말들을 살펴보았다. (파일을 입수한 경로를 찾아보면 찾기 편할 수도?) 라는 말이 힌트가 될 만한 듯하다. (3주차 교육에서 공부했던 windows event log를 이용해야하나 싶어서 많은 폴더를 뒤져보면서 eventviewer 로 열 수 있도록 파일을 찾고 열어보았지만 소득이 없었음...) 파일을 입수한 경로를 생각해보니 인터넷사이트에서 입수했을 것으로 예상된다. Partition2 > NONAME > root > Users > nonamed >..
(2021.01.27) N0Named Wargame - [C] 우리의 추억들 파일을 다운 받아 준다. 압축을 풀으려고 하니 문제에 pw로 나와있던 fun_cool_and_sexy_forensic_> Local > Microsoft > Windows> Explorer 이다. 썸네일 캐시 파일들을 모두 export 해준다. 썸네일캐시 보기 라고 구글에 입력해주면 아래 링크가 뜬다 www.itsamples.com/thumbnail-database-viewer.html Thum..
(2021.01.21) N0Named Wargame - inject 악성코드에 감염된 PC.... 악성프로그램을 찾아 파일명과 실행시각을 알아내야한다.... hxd 프로그램으로 끄적이던 문제만 풀다가 이런 문제를 보니까 갑자기 숨이 턱 막힌다...후하후하 파일 다운받고 압축을 풀어주니... 흠..... 어떤 도구를 어떻게 써줘야하는지 매우매우 막막하다... 일단 infect_image 니까 FTK image 도구를 이용해보자 root 안에 굉장히... 많은 파일들이 있다. 여기에서 악성코드프로그램을 찾아야한다!!!! Users/사용자 이름/AppData/Local/Google/Chrome/User Data/Default/History 경로로 검색기록을 찾아줘보자... export 해주고 db browse..
(2021.01.07) http://ctf.no-named.kr:1234/ [PNG와 APNG 구조의 차이] https://ko.wikipedia.org/wiki/PNG https://ko.wikipedia.org/wiki/APNG PNG(Portable Network Graphics): 비손실 그래필 파일 포맷의 하나 APNG(Animated Portable Network Graphics): PNG를 확장한 이미지 파일 포맷 N0Named Wargame - [A] 입사테스트 [2] 우쒸.... 또 파일 형식이 지원되지 않는다고 나온다... 이 파일은 jpg 파일인듯...하다.... 문제 출제자께서 tweakpng 도구 사용을 추천하셨으니 tweakpng 도구를 이용해야겠다!! tweakpng 도구 다운..
(2021.01.06) http://ctf.no-named.kr:1234/ N0Named Wargame - MagicIMAGE mandu.png를 다운 받아준다. 근데 파일이 열리지 않는다... hxd 프로그램에 넣어보았다. 푸터 부분은 49 45 4E 44 AE 42 60 82 로 PNG의 푸터부분과 일치하는데 헤더 부분은 89 50 4E 47 0E 0B 로 PNG의 헤더부분(89 50 4E 47 0D 0A 1A 0A)과 일치하지 않는다. 헤더를 PNG 로 바꾸어주고, 저장시켰다. 그리고 파일을 열었더니 답이 나왔다!! 더보기 역시 난이도 하라서 그런지 수월하게 풀렸다....!