(2021.02.11) 이용한 도구들 010 editor 파일을 다운받아주고 압축을 풀었다 ..... 한석원 선생님 사진이 두장 있었다.. hxd 로 두개를 보니까 헤더부분과 푸터부분을 비롯해서 매우 비슷하다 내 눈으로는 차이점을 찾을 수 없었다 010 editor 로 차이점을 찾아주었다 H 를 시작으로 a , c , k 순으로 afterimage_2.jpeg 에서 플래그형식의 값들이 보인다 순서대로 쭉 써보면 HackCTF{wh3r3_@re_you_l00king?} 이 플래그이다!!
(2021.02.11) 이용한 도구들 HxD 파일 다운 후 압축 풀어주면 mission.jpg 파일이 하나가 있다 hxd 에디터로 mission.jpg 파일을 열어준다 파일의 헤더부분의 시그니처를 보니 .jpg 의 파일 시그니처가 아니다 나와있는 m4a 가 그 힌트인가보다 66 74 79 70 4D 34 41 20 가 m4a 의 파일 시그니처이다 jpg 파일이 아니라 m4a 파일이었던 것이다 확장자를 m4a 로 바꿔준다 재생해보니 뭔 알 수 없는 소리가 들린다 포렌식에서 음성파일 관련 문제는 역재생해보는 것이 필수가 아닐까 싶다 audiotrimmer.com/kr/online-audio-reverser/ 이 사이트에서 역재생 할 수 있다 (아예 툴도 다운받을 수 있음) 변환해서 다운받고 들어보니 뭐를 수..
(2021.02.11) 이용한 도구 wireshark advanced archive password recovery one_data_one_zip 파일압축을 해제해주고 파일을 열면 wireshark 응용프로그램으로 자동으로 열린다. 쭉 보던 중! flag.zip 발견! 빨간 동그라미 중에서 두번째 동그라미(STOR flag.zip) 를 더블클릭해서 살펴보니 PK 를 발견~~ (STOR flag.zip) 요기에 마우스 오른쪽 버튼 눌러서 follow > TCP stream 을 눌러준다 Show data as ASCII 라고 되어있는 부분을 RAW로 바꿔주고 Save as를 눌러 저장한다 yeah 라는 이름으로 저장해준다 확장자를 .zip 로 해준다 압축 풀기를 눌러줬더니 암호가 걸려있다고 나온다... 포렌..
(2021.02.10) 이용한 도구들 wireshark 파일 다운받고 압축을 풀어주면 두개의 파일이 나온다 borad.pcapng 파일을 눌러주니 wireshark 프로그램으로 열린다 txt 파일에서 주어진대로 불법 게시물들에 대해서 살펴보기 위해 로그인이나 게시물을 올린 흔적들을 찾아봤다 조금 살펴보니 HTTP 를 필터링해서 보는게 빠를 듯 싶어보인다 http를 필터링 시켜서 확인해주었다 들어가보니 요런 사이트였다 로그인하고 게시판에 들어가서 적고 로그아웃한듯한 흔적도 찾을 수 있었다 요런거 클릭해보면 POST 방식으로 쓰여있어서 다 볼 수가 있다 이런 식으로 게시물을 작성한 것을 볼 수가 있었다!!! POST 가 있는 걸 클릭해서 하나씩 확인을 해보니 의심스러운 id가 보였다 그리고 이상한 게시글도 ..
(2021.02.09) 이용한 도구 HxD 010 editor TweakPNG 역시나 이번에도 HxD를 이용해주자 파일의 헤더부분의 일부분을 고쳐줘야할 듯 싶다 PNG 의 파일 시그니처에 맞게 푸터부분을 수정해주고 저장해준다 그랬더니 요상한 사진이 나온다... 흠... 약간 돼지 사진인데 뭔가에 가려진 느낌이다.. 010 editor 를 이용해서 봐주자 chunk[5] 에 에러가 났다고 뜬다 보니까 다른건 다 대문자인데 저거만 소문자다 더보기 이부분들을 보니깐 예전에 PNG APNG 문제 풀었던게 생각이 난다 hey-stranger.tistory.com/23?category=973924 소문자를 대문자로 바꾸어준다! 그리고 저장해주면 답이 나온당
(2021.02.09) 이용한 도구 없음.. 일단 HackCTF{N0n3_9@$$w0rd} 로 입력했는데.... 문제가 풀렸다.... 당연히 아닐거라고 생각하고 누른건데... 뭐지? 왜지? 이게 뭔 문제지? 그냥 압축파일 다운받아서 압축풀고 메모장에 있는 플래그 입력하니까 문제가 풀렸다... 뭐지? 구글링 해보니까 zip 파일에 암호화표시 영역을 수정해야 flag.txt 가 열리는 문제였다.. 나는 왜 열린건지 의문...
(2021.02.09) 이용한 도구 HxD HxD 를 이용해 파일을 보니 플래그 형식과 PK 압축 형식, 그리고 수상스러운 hidden.txt 가 보인다 HackCTF{He_s0ggazzi_long} 요거를 넣었더니 틀렸다 틀릴 것 같았는데 플래그를 자세히 보니 헤 속았지롱 이라고 하는게... 화가나는군... 압축풀어서 그 안에 hidden.txt 를 찾으면 될 것 같다 파일을 확장자 .zip으로 바꿔 써준다 바꿔서 압축풀기 하려니까 확장자의 헤더부분이 손상되었다면서 repair.zip 을 다시 만들어줬다.
(2021.02.09) 이용한 도구 HxD 쭉쭉 내리면서 단서가 될만한걸 모아보았다 플래그 형식 같아 보여서 한번 플래그값에 넣어보았는데.. 성공...?? 해버렸다.. 아주 쉬운 문제였던걸로...
(2021.02.08) 더보기 드디어 포렌식 스터디 교재의 마지막 장을 읽었다! 2012년에 나온 책이라 휴대기기 포렌식이 지금이랑 많이 다를 것 같다.. 참고도서: 이제 시작이야! 디지털 포렌식 | 셀룰러 네트워크 셀룰러 네트워크는 여러 개의 셀(cell)로 구성되어있음 각 셀은 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스를 제공함 각 셀의 크기와 모양은 서로 다름 각 셀에서 방출하는 라디오 신호의 강도는 범위를 제한하기 위해 통제됨 셀 사이트(cell site) : 각 셀의 기지국의 장비 --> 셀 사이트는 각 셀이 네트워크에 연결될 수 있도록 함 셀 사이트는 각 셀의 정가운데에 위치해있지 않음 셀룰러 네트워크 구성요소 > 기지국: 안테나와 관련된 장비로 구성되어있음 > 기지국 제어기(B..
(2021.02.07) 이용한 도구 hxd NoNamed Wargame - RE: xeh_desrev 역시나 파일을 볼 수 없다고 나온다. hxd 로 열어보니 manduu23.png 의 파일의 헤더 부분이 헤더시그니처가 아님을 알 수 있다. 푸터부분도 푸터시그니처가 보이지 않는다. 근데 문제 제목을 보면 RE: xeh_desrev 인데 거꾸로 해보면 RE: versed_hex 이고 이는 reversed_hex 이다. hex를 거꾸로 하면 된다는 건가 싶어서 헤더부분과 푸터부분을 다시 보니까 답이 보인다. 아예 지금 거꾸로 들어가있는 것 같다.. 공부해둔 파이썬을 사용할 기회!! 16진수값을 복사해서 txt파일로 저장해준다. 그리고 파이썬으로 txt 파일을 불러서 문자열을 거꾸로 저장해서 출력해준다. 아뿔..
(2021.02.05) 이용한 도구 hxd stegsolve Timisoara CTF 2019 Quals [Tri-color QR] 파일의 푸터부분을 보니 푸터 시그니처 뒤에 뭔가가 추가되어있는 것을 볼 수 있다. PK 파일이 보인다. 꺼내준다. 열었더니 플래그의 일부를 확인할 수 있었다. ****************flag}**************** QR코드에서 유용하게 쓰이는 툴로는 stegsolve 가 있다. stegsolve 는 다운받고 나서 OpenJDK Platform binary 를 눌러줘야 실행할 수 있다. StegSolve 툴로 Red plane, Green plane, Blue plane 을 하나씩 꺼내준다. www.onlinebarcodereader.com/ 이 사이트에 넣어주면..
(2021.02.04) NoNamed Wargame - [C] Left Side B hxd 를 통해서 보면 FF가 반복되는데 첫부분에는 FE 와 FF 가 불규칙적으로 반복되는 것을 볼 수 있다. (암알못의 암호핥기 – 스테가노그래피 – Hackerz on the Ship (wordpress.com) 여기 사이트를 보면 FF 와 FE 를 통해서 숨겨진 데이터를 알아내는 방법이 소개되어있다.) FE 는 0, FF 는 1 로 변환하여 이진수로 표현해주고, 이를 ASCII 코드로 다시 변환해주면 숨겨진 데이터를 찾아낼 수 있을 것 같다!! FE FF FE FE FF FF FF FE FE FF FE FE FF FF FF FE FE FF FE FE FE FF FE FE FE FF FF FF FF FE FF FF F..
(2021.02.03) 이용한 도구들 hxd openstego NoNamed Wargame - [A] 길에서 주어온 만두 파일을 열어보니... 이런 사진이 나온다 문제에서 비밀번호가 있어야 열린다고 한 것 같은데.. 나는 왜 사진이 열리는 지는 모르겠지만... 사진이 보인다 사진 파일이 주어졌으니 hxd 로 파일을 열어봤다 헤더부분은 문제가 없었지만 푸터부분을 보니 푸터시그니쳐 다음에 무언가 있다!! PASS:1234 라고 되어있는 걸 보니 비밀번호가 1234 였나보다.. 근데 비밀번호를 대체 어디에 이용하라는 건지.. 알 수가 없었다... 포렌식 공부 중에 스테가노그래피 툴을 알아보는게 있었는데 openstego 를 이용할 때 비밀번호가 필요하다 openstego 를 이용해서 풀어줘야하는 문제인 것이다..
(2021.02.02) | 네트워크 기초 1. 컴퓨터나 장비 사이를 연결 (물리적 or 무선) 2. 통신규약이 있어야 함 (프로토콜) : TCP/IP 는 매우 널리 사용되는 네트워크 프로토콜임 네트워크 종류 1. 클라이언트/서버 환경 --> 클라이언트/서버 네트워크에 있는 각 컴퓨터는 두 가지 역할 중에 하나를 수행함 클라이언트: 최종 사용자가 사용하는 컴퓨터 --> 파일, 서비스, 정보 등을 서버로부터 요청함 서버: 특정한 기능 하나만을 수행함, 네트워크를 더 많이 통제할 수 있음 --> 파일, 서비스, 정보를 여러 클라이언트에 제공함 2. P2P(Peer-to-peer) 네트워크에 있는 모든 컴퓨터는 클라이언트와 서버 역할을 모두 수행할 수 있음 --> 파일 공유 프로그램에서 가장 많이 사용됨 3. ..
(2021.01.29) 포렌식 스터디 4주차에는 책의 6장 안티 포렌식에 대해 공부했다. 툴에 대한 소개가 많았던 챕터인 듯하다. book.naver.com/bookdb/book_detail.nhn?bid=7007687 이제 시작이야! 디지털 포렌식 디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지, book.naver.com 참고도서: 이제 시작이야! 디지털 포렌식 | 안티 포렌식 안티포렌식: 디지털 데이터를 조작, 삭제 또는 난독화하여 조사를 어렵게 만들거나 시간이 많이 소요되도록 하거나, 거의 불가능하게 만드는 것 Anti-Forensics.com 은 안티 포렌식의 전문..