비전공자의 포렌식일기

문제를 보겠습니다. 문제를 열어보니, 요상한 사진이 나옵니다. 사진을 따로 저장하여, hxd에디터로 열어봤습니다. 확장자가 jpg였는데, jpg 시그니처가 아니라 .wav파일 시그니처로 되어 있는것을 보아 확장자가 임의적으로 변경 되어있다고 생각하고 .wav 확장자를 바꿔서 열어봤습니다. 그럼 음악파일을 들을 수 있는데 왠 로봇 소리가 자꾸나서 wav파일을 열 수 있는 audacity 프로그램을 사용하겠습니다. 열어서 실행을 하게되면 동일한 로봇 소리를 들을 수 있는데, 프로젝트 속도가 8000이 1초동안 재생이 되었으면, 더 길게 들어보면 어떨까 싶어서 4분의1인 2000으로 바꾸고, 실행을 시켰더니 아브라카타브라 라는 소리가 들렸습니다. FLAG : abracadabra

문제를 보겠습니다. 주어진 butterfly.png파일을 열어보면 나비 사진이 하나 나옵니다. 사진을 hxd로 보니 아무런 값이 없어서 문제를 다시 읽어 봤습니다. 읽어보니 Find Key butterfly라고 되어 있어, 나비에서 키 값을 찾을 수 있겠다 싶어가지고 사진을 확대시켜주는 사이트에서 찾아봤습니다. https://29a.ch/photo-forensics/#forensic-magnifier 이 사이트에서 butterfly.png를 오픈하고, 마우스 커서를 사진에 올리면 확대가 됩니다. 요 부분에 커서를 가져다 놓으면 플래그 값을 찾을 수 있습니다. 다음 문제를 보겠습니다. 달 사진이 하나 나오는데, 마찬 가지로 hxd에디터로 열어 보겠습니다. 열어서 푸터 시그니처인 49 45 4E 44 AE ..

문제를 보겠습니다. 제목에 오탈자 정정 pid오타 root.......있는것을 보니까 메모리 포렌식을 이용하여 푸는 문제인 것 같습니다. 위 문제에서 memdump 플러그인을 쓴것을 보아 PID가 4092인 프로세스를 덤프뜨는것으로 보입니다. 똑같이 명령어를 입력하면 mspaint.exe라는 그림판 프로세스가 4092.dmp로 추출되는것을 볼 수 있습니다. 이미지 파일을 보기 위해서는 gimp라는 프로그램을 사용하겠습니다. 단, gimp를 프로그램을 사용하기 위해서는 확장자를 data로 바꿔주어야 합니다. 설치 및 실행 명령어는 다음과 같습니다. sudo apt-get -y install gimp gimp 4092.data 오프셋, 높이, 너비를 조절해주면 찾을 수 있었습니다.

문제를 보겠습니다. 주어진 flag 파일을 리눅스에서 file 명령어로 파일의 유형을 보게 되었는데, gzip으로 되어 있었습니다. 그래서 윈도우에서 flag 파일을 .zip 확장자를 추가 해준 결과 flag파일이 하나 더 나왔습니다. 압축을 해제하여 메모장으로 열었는데, 플래그값을 볼 수 있었습니다. FLAG : ABCTF{broken_zipper}

문제를 보겠습니다. 주어진 hidden.png파일을 다운받아서 실행시켜 봅시다. 귀여운 강아지 한마리가 있는데, 문제에서 보면 "사진 속에서 빨간색이 이상해 보이나요?" 이뜻은 뭔가 사진이 겹쳐져있다. 라고 판단을 하여 스테가노 그래피인것을 알았습니다. 이미지 파일을 색상과 비트별로 분석해주는 사이트에 가서 분석을 해봤습니다. 그러자 플래그 값을 찾을 수 있었습니다.

문제를 한번 보겠습니다. 주어진 zip파일을 다운받아 ftk로 실행을 시켜보겠습니다. 실행을 시켜보니 안에 들어있는 파일들이 전부다 zip bomb으로 설정되어 있었습니다. 그래서 hxd에디터로 zip파일의 끝인 50 4B 05 06를 입력 해봤습니다. 입력을 해보니 EOCD(End of Central Directory) 부분에는 이상이 없는거 같이 보였습니다. 근데, CDFH(Central Directory File Header)부분인 50 4B 01 02에서 수상한 패턴이 보이기 시작했습니다. 분명히 시그니처 부분에서는 이상이 없지만, 해당 영역을 가진 부분들이 ????yyyyyyy로 지정되어 있었습니다. 그래서 상단으로 더 올라가 CDFH가 시작되는 부분으로 갔습니다. 아까 제일 처음 보여줬던 사진..

문제를 보겠습니다. 주어진 img파일을 다운받아 ftk로 열어보겠습니다. 열었더니 수상한 파일이 하나 보였습니다. 확장자는 pptx인데, 우측 하단에 16진수로 표현된 헤더 시그니처가 50 4B 03 04로 zip파일의 시그니처로 지정되어 있습니다. 결국엔 확장자를 임의로 바꿔줬다고 생각을 하시면 될 것 같습니다. 저 pptx파일을 추출해서 zip으로 확장자를 바꾼 후 파일을 열어보겠습니다. 열어봤더니 다양한 폴더들이 존재하였고, 그 중 media폴더에 사진들이 여러개 있었는데, 그 중 하나만 수정 시간이 달랐습니다. 그래서 저 파일에 플래그 값이 숨어져있다고 생각을하고 저 사진을 추출하고 더블 클릭을 해봤습니다. 모스부호같이 어떤 기호인거 같은데...인터넷을 검색을 해보니까 maxicode라고 불리는 ..

문제를 한번 보겠습니다. 문제에서 "바이너리" 가 동작을 했다고 한다. 그래서 파일의 유형을 한번 알아보기 위해 다음과 같은 명령어를 실행했다. file binned 그러자 파일의 유형은 ELF로써, 유닉스 계열 운영체제의 실행, 오브젝트 파일, 공유 라이브러리 또는 코어 덤프를 할 수 있게 하는 바이너리 파일입니다. 쉽게 말해서 Windows에서 .exe확장자를 가진 것이 실행파일이듯 유닉스 계열 운영체제 에서 실행파일을 담당합니다. 실행파일이니 가상환경 스냅샷을 이용해서 저장을 하고 실행을 한번 해봤습니다. ./binned 실행을 했더니 다음과 같은 에러를 발생시켰습니다. 그래서 곰곰히 생각을 해보다가...문제를 다시 읽어봤습니다. 그러자 "바이너리가 동작을 한다" 라는 문구에 관심을 기울였고, 리눅..

문제를 보겠습니다. .core파일은 처음보는 것이기에 리눅스에서 어떤 유형의 파일인지 알아봣습니다. file fore1.core core파일은 segmentaiton fault 발생 시 생성되는 core dump file입니다. ELF파일을 어떻게 분석해야 할 지 잘 모르겠어서, 찾아보니 core파일은 메모리의 내용이 기록되어 있는 파일임을 알았고, strings로 txt파일을 만들어서 열어봤습니다. 이 부분을 보면 A L E 등등 대분자로 쓰여져 있는 값을 볼 수있습니다. 규칙은 A부터 시작해서 5번째 마다 대문자가 있는 것을 확인할 수 있었습니다. 그래서 문자열을 추출해내는 파이썬 코드를 작성해서 문자열을 추출 했습니다. if문에서 왜 i-3을 했냐면은 파이썬은 제로 인덱스 체제이기 때문에 A가 4번..

문제를 보겠습니다. 문제에서 준 파일은 이미지 파일입니다. 근데 "파일시스템이 손상된 것 처럼 보입니다. 우리가 가는 곳에는 파일시스템이 필요 없습니다" 우리는 이 말을 이해를 해야합니다. 제가 이해한 뜻은 "문제를 푸는데 파일 시스템이 필요없다" 즉, 파일 시스템을 복구할 필요가 없다는 것입니다. 그래서 hxd에디터로 열어보니까 MBR이 00으로 다 NULL값으로 채워져 있었습니다. 이 값을 복구할 필요가 없다는 것이죠. 그래서 혹시나 밑으로 내려봤더니, 데이터가 있는것을 보았고 jpg 시그니처로 보이는 파일들을 찾았습니다. 카빙을 진행 하였더니, 다음과 같은 사진을 볼 수 있었습니다. 그래서 Flag라는 단어가 있길래 입력을 했더니 정답 처리가 되었습니다ㅏ..