(2021.01.29) 이용한 도구 FTK Imager veracrypt N0Named Wargame - [B] 유출된 자료 거래 사건[4] 해당 내용이 담긴 문서를 하드 어딘가에 암호화해두어 숨겨둔 것 같다. 찾아내자! 이 부분을 보니 3주차 공부에서 veracrypt 으로 하드를 암호화했다고 추측할 수 있을듯하다. 유출된 자료 거래 사건 [2] 풀면서 헛다리 잡았을 때 veracrypt 설치한 파일이랑 쳐본 내역을 봤다. 그런데 여기까진.. 알겠는데 그 이후로는 전혀 갈피를 잡지 못했다... partition 3 이 비어있는데 용량을 차지하는 것이 바로 이 partiotion 3이 디스크 암호화가 되어있는 것이었다.. FTK Imager 로 partition 3 을 export 해주고 veracryp..

(2021.01.29) 이용한 도구 FTK Imager event viewer N0Named Wargame - [B] 유출된 자료 거래 사건[3] 3주차 교육에서 공부했던 windows event log를 이용하면 될 듯하다. 관련 내용은 kali-km.tistory.com/entry/Windows-Event-Log-1 를 참고했다. event viewer 이용하면 되는 것 같음 event viewer 로 파일을 열기 위해서는 eventlog 파일이 필요하다 윈도우 이벤트 로그에는 총 4가지의 로그가 있다. 시스템 로그: system.evtx 설치 로그: setup.evtx 보안 로그: security.evtx 응용프로그램 로그: application.evtx 이 문제에서는 동거자의 계정에 대해 알아내야..

(2021.01.28) 이용한 도구 FTK Imager DB Broswer SQLite NTFS Log Tracker N0Named Wargame - [B] 유출된 자료 거래 사건[2] FTK Imager 로 열어준다. 문제를 다시 읽어보면서 힌트가 될만한 말들을 살펴보았다. (파일을 입수한 경로를 찾아보면 찾기 편할 수도?) 라는 말이 힌트가 될 만한 듯하다. (3주차 교육에서 공부했던 windows event log를 이용해야하나 싶어서 많은 폴더를 뒤져보면서 eventviewer 로 열 수 있도록 파일을 찾고 열어보았지만 소득이 없었음...) 파일을 입수한 경로를 생각해보니 인터넷사이트에서 입수했을 것으로 예상된다. Partition2 > NONAME > root > Users > nonamed >..

(2021.01.27) N0Named Wargame - [C] 우리의 추억들 파일을 다운 받아 준다. 압축을 풀으려고 하니 문제에 pw로 나와있던 fun_cool_and_sexy_forensic_> Local > Microsoft > Windows> Explorer 이다. 썸네일 캐시 파일들을 모두 export 해준다. 썸네일캐시 보기 라고 구글에 입력해주면 아래 링크가 뜬다 www.itsamples.com/thumbnail-database-viewer.html Thum..

(2021.01.26) 스터디 3주차에서 공부한 두번째 내용은 chapter 8 - 인터넷과 이메일 이다. 웹에 대한 설명이 많았다. 지금까지 읽었던 것 중에 가장 친근감있는 부분이다. book.naver.com/bookdb/book_detail.nhn?bid=7007687 이제 시작이야! 디지털 포렌식 디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지, book.naver.com 참고도서: 이제 시작이야! 디지털 포렌식 | 인터넷 URL(Uniform Resource Locator) 을 브라우저에 입력하면 웹 페이지에 접속이 가능함 URL은 호스트, 도메인 이름, 파일이름 ..

(2021.01.26) 포렌식 스터디 3주차에 해당하는 부분을 읽고 정리했다. chapter 5 - 윈도우 시스템에서의 증거수집 book.naver.com/bookdb/book_detail.nhn?bid=7007687 이제 시작이야! 디지털 포렌식 디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지, book.naver.com 참고도서: 이제 시작이야! 디지털 포렌식 | 최대 절전모드 파일(HIBERFILE.SYS) 대기모드 - 소량의 전력을 RAM에 지속적으로 공급해서 데이터가 유지될 수 있도록 함 - RAM 은 휘발성 메모리로 전력이 없으면 데이터가 사라짐 최대 절전모드 -..

(2021.01.17) 더보기 이번에도 매우매우 간단간단하게 요약을 해보았다... 미국 책 번역한 책인데 우리나라에서도 이런식으로 적용되는지는 모르겠지만 그래도 비슷할 것 같다. 이 책을 읽으면 왠지 내가 포렌식 수사관이 된 기분...이다. book.naver.com/bookdb/book_detail.nhn?bid=7007687 이제 시작이야! 디지털 포렌식 디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지, book.naver.com 참고도서: 이제 시작이야! 디지털 포렌식 범죄 현장과 증거 수집 디지털 증거는 휘발성이기 때문에 보존하는 것이 매우 중요하다. 용의자의 매체를..

(2021.01.17) 더보기 포렌식 스터디 2주차에는 책의 3,4장을 읽고, 윈도우 포렌식 도구에 대해서 공부했다. 책의 3, 4장은 약간 미국의 포렌식 수사에 대한 설명을 담은 내용이었다. 우리나라 수사법도 아니고 미국의 수사법에 대한 내용이니까 간단간단하게 정리했다. book.naver.com/bookdb/book_detail.nhn?bid=7007687 이제 시작이야! 디지털 포렌식 디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지, book.naver.com 참고도서: 이제 시작이야! 디지털 포렌식 포렌식 랩 (lab or laboratory) 포렌식 랩은 미국 전역..

(2021.01.13) hxd로 파일을 분석했지만 아무런 문제가 없다... 이미지 스테가노 툴 (Image stegano) Stegsolve 툴이 있어야 풀 수 있다고 한다... 아래 파일을 다운 받아준다... 툴을 알려주기 위한 문제인가? 싶었다... 이런 문제는 구글링을 안하고는 풀 수가 없는거 아닌가...? ※ 자바가 있어야 실행가능하다 화살표를 누르다보면 Red plane 0 이 나오는데 플래그를 확인할 수 있다 tjctf{0dd5_4nd_3v3n5} 더보기 이런 건 툴 모르는 사람은 못푸는거 아닌가?????!?!?!?!?!?!?!?!!?!?!?!?!?!?!?!?!?! 혼자 풀어보고싶은데 자꾸 막혀서 구글링하니까 짜증난다...

(2021.01.13) 뭔가 딱 보면 두장의 사진이 겹쳐있는거 같아 보인다... hxd를 이용해서 속성을 봤다. jpg의 파일 헤더부분과 jpg의 파일 푸터부분은 모두 맞는다. FF D9 찾기를 했는데 한개만 나왔다.. 두개의 사진이 겹친건 아닌 듯하다... key format이 ABCTF{(key)}라고 되어있다고 하니 왠지 ABCTF가 문자열에 있을 것 같기도 하다.. 혹시나 하는 마음으로 찾아봤는데 플래그 발견!! ABCTF{forensics_1_tooo_easy?} 를 입력해주면 끝~~~

(2021.01.07) http://ctf.no-named.kr:1234/ [PNG와 APNG 구조의 차이] https://ko.wikipedia.org/wiki/PNG https://ko.wikipedia.org/wiki/APNG PNG(Portable Network Graphics): 비손실 그래필 파일 포맷의 하나 APNG(Animated Portable Network Graphics): PNG를 확장한 이미지 파일 포맷 N0Named Wargame - [A] 입사테스트 [2] 우쒸.... 또 파일 형식이 지원되지 않는다고 나온다... 이 파일은 jpg 파일인듯...하다.... 문제 출제자께서 tweakpng 도구 사용을 추천하셨으니 tweakpng 도구를 이용해야겠다!! tweakpng 도구 다운..

(2021.01.06) http://ctf.no-named.kr:1234/ N0Named Wargame - MagicIMAGE mandu.png를 다운 받아준다. 근데 파일이 열리지 않는다... hxd 프로그램에 넣어보았다. 푸터 부분은 49 45 4E 44 AE 42 60 82 로 PNG의 푸터부분과 일치하는데 헤더 부분은 89 50 4E 47 0E 0B 로 PNG의 헤더부분(89 50 4E 47 0D 0A 1A 0A)과 일치하지 않는다. 헤더를 PNG 로 바꾸어주고, 저장시켰다. 그리고 파일을 열었더니 답이 나왔다!! 더보기 역시 난이도 하라서 그런지 수월하게 풀렸다....!

(2021.01.05) 더보기 포렌식 교육 1주차 1번 과제 - SuNiNaTaS 21번 suninatas.com/ 써니나타스 웹해킹, 포렌식, 리버싱, 암호학, 해킹 워게임 제공. www.suninatas.com SuNiNaTaS #21 사진 하나가 있는 문제이다... What is a Solution Key? Is it a Puzzle? 이라는 문구와 함께 밑의 사진에는 Solution Key is H4○○N TH3 MIDD33 ATTACK 가 있는 듯 하다.. 소스코드를 살펴보니 monitor.jpg가 삽입되어있음을 알 수 있다.. 요그림을 바탕화면에 저장해주고, hxd 프로그램이 넣어보았다!! 보니까 FF D8 FF E1 이 jpeg의 헤더 부분이다. jpeg의 푸터 부분은 FF D9 인데 푸터부..