(2021.01.29) 이용한 도구 FTK Imager event viewer N0Named Wargame - [B] 유출된 자료 거래 사건[3] 3주차 교육에서 공부했던 windows event log를 이용하면 될 듯하다. 관련 내용은 kali-km.tistory.com/entry/Windows-Event-Log-1 를 참고했다. event viewer 이용하면 되는 것 같음 event viewer 로 파일을 열기 위해서는 eventlog 파일이 필요하다 윈도우 이벤트 로그에는 총 4가지의 로그가 있다. 시스템 로그: system.evtx 설치 로그: setup.evtx 보안 로그: security.evtx 응용프로그램 로그: application.evtx 이 문제에서는 동거자의 계정에 대해 알아내야..
(2021.01.28) 이용한 도구 FTK Imager DB Broswer SQLite NTFS Log Tracker N0Named Wargame - [B] 유출된 자료 거래 사건[2] FTK Imager 로 열어준다. 문제를 다시 읽어보면서 힌트가 될만한 말들을 살펴보았다. (파일을 입수한 경로를 찾아보면 찾기 편할 수도?) 라는 말이 힌트가 될 만한 듯하다. (3주차 교육에서 공부했던 windows event log를 이용해야하나 싶어서 많은 폴더를 뒤져보면서 eventviewer 로 열 수 있도록 파일을 찾고 열어보았지만 소득이 없었음...) 파일을 입수한 경로를 생각해보니 인터넷사이트에서 입수했을 것으로 예상된다. Partition2 > NONAME > root > Users > nonamed >..
(2021.01.27) N0Named Wargame - [C] 우리의 추억들 파일을 다운 받아 준다. 압축을 풀으려고 하니 문제에 pw로 나와있던 fun_cool_and_sexy_forensic_> Local > Microsoft > Windows> Explorer 이다. 썸네일 캐시 파일들을 모두 export 해준다. 썸네일캐시 보기 라고 구글에 입력해주면 아래 링크가 뜬다 www.itsamples.com/thumbnail-database-viewer.html Thum..
(2021.01.27) SuNiNaTaS #5 크게 4개로 구분해보았다. 이 문제는 자바스크립트 난독화를 해제하는 문제이다. (혼자서 엔터치면서 이쁘게 구조를 만들고 있었는데... 그 말을 들은 친구가 나보고 븅shin이냐고 했음...ㅠ) www.strictly-software.com/unpack-javascript --> 난독화 해제사이트 난독화 해제하면 밑에 처럼 나온다... 난독화 해제된 코드를 복사해서 크롬 개발자도구에 붙여넣어준다. 그리고 개발자도구 콘솔로 가서 위의 난독화 해제된 코드 안에 있는 PASS 함수를 입력한다. Hint 주석에 있던 숫자를 입력값으로 넣으면 될 것 같다... 그러면 값이 나옴
(2021.01.21) N0Named Wargame - inject 악성코드에 감염된 PC.... 악성프로그램을 찾아 파일명과 실행시각을 알아내야한다.... hxd 프로그램으로 끄적이던 문제만 풀다가 이런 문제를 보니까 갑자기 숨이 턱 막힌다...후하후하 파일 다운받고 압축을 풀어주니... 흠..... 어떤 도구를 어떻게 써줘야하는지 매우매우 막막하다... 일단 infect_image 니까 FTK image 도구를 이용해보자 root 안에 굉장히... 많은 파일들이 있다. 여기에서 악성코드프로그램을 찾아야한다!!!! Users/사용자 이름/AppData/Local/Google/Chrome/User Data/Default/History 경로로 검색기록을 찾아줘보자... export 해주고 db browse..
(2021.01.20) SuNiNaTaS #2 처음에 이 화면 떴을 때 suninatas 사이트에 아이디랑 비번 입력하는 줄 알고 그거 입력했다... 알고보니 이게 문제였음... 할 수 있는게 없으니 일단 소스코드부터 봐준다. 무척 길군.... 요새 html, vue 공부를 해서 그런지 예전보다 술술 읽히는 기분이 든다. 오른쪽 부분이 약간 짤렸는데 이 부분은 화면에 표시된 요기 아래의 로그인 창에 대한 소스코드이다. 이 부분이 문제 해결의 단서가 될 것 같다.. if id==pw 일때, You can't join! Try again 을 알람창으로 띄우고 id 와 pw를 초기화한다. else 그렇지 않을 때, document.web02.submit() 한다고 해석할 수 있다. 또 뭘 확인해봐야할까 하는데..
(2021.01.13) 뭔가 딱 보면 두장의 사진이 겹쳐있는거 같아 보인다... hxd를 이용해서 속성을 봤다. jpg의 파일 헤더부분과 jpg의 파일 푸터부분은 모두 맞는다. FF D9 찾기를 했는데 한개만 나왔다.. 두개의 사진이 겹친건 아닌 듯하다... key format이 ABCTF{(key)}라고 되어있다고 하니 왠지 ABCTF가 문자열에 있을 것 같기도 하다.. 혹시나 하는 마음으로 찾아봤는데 플래그 발견!! ABCTF{forensics_1_tooo_easy?} 를 입력해주면 끝~~~