비전공자의 포렌식일기

이번 시간에는 CODE라는 문제를 풀어보겠습니다. 문제를 보면 Is it really a barcode? 라는 문구를 보면 이 사진에 있는 바코드는 진짜 바코드가 아니다라고 해석할 수 있습니다. 그럼 바로 주어진 파일을 다운 받아서 실행을 시켜봅시다. 이렇게 보면 먼가 일정한 규칙으로 나뉘어져 있는걸 확인할 수 있습니다. 규칙대로 나뉘어 보겠습니다. 빨간색 선을 따라 일정한 규칙으로 나뉘는것을 볼 수 있습니다. 그럼 저게 플래그 값이라고 생각을 했을 때, 이런식으로 번호를 매길 수 있습니다. 그럼 플래그형식이 H4CGM이니까 1번은 H, 2번은 4, 3번은 C입니다. 그렇게 18번까지 치환을 하게 되면 플래그 값이 나오는것이죠!! 일단 같이 1번 2번만 구해 보겠습니다. 검은줄과 흰색줄을 각각1비트라고 ..

이번 시간에는 다음 문제인 cat을 풀어보겠습니다. 문제를 보면 cat is very cute...? 고양이는 매우 귀엽다...라는 말만 하고 힌트는 없네요 ㅋㅋㅋㅋㅋ 주어진 파일을 다운 받아서 실행을 시켜 봅시다. 음...자고있는 모습이 참 귀엽네요!!! 근데 이거만 봐서는 알 수 없으니 hxd에디터로 열어보겠습니다. 처음에는 헤더 시그니처와 푸터 시그니처가 다를거라고 생각해서 열어봤더니 딱히 이상이 없었습니다. 그래서 jpg파일의 메타데이터를 확인하기 위해서 속성에 들어가봤습니다. 속성에서 GPS가 잡히는것을 보아하니 위,경도 문제일까 싶어서 구글맵에서 직접 입력을 해봤습니다. 근데...뭐 플래그값은 무슨 아무것도 안나와있네요...그래서 다시 hxd에디터로 돌아가서 보통 젤 마지막 오프셋에 스테가노면..

이번 시간에는 다음 문제인 LineFeed를 풀어보겠습니다. 문제에는 Something is broken이라고 적혀있습니다. 해석하면 뭔가 문제가 있는? 이라고 해석 할 수 있습니다. 주어진 파일을 다운받고 실행시켜 보겠습니다. 그냥 색상이 다른 점선으로만 칠해져있네요..? 사진이 png인것을 보아 왠지 png파일을 이루는 chunk 부분에서 이상한 값으로 덮어 씌워져 있을 거라 생각을 해서 png파일을 분석해주는 툴을 써서 열어보겠습니다. 아니나 다를까 IHDR chunk 부분에서 에러가 있다고 뜨네요!! 그전에 PNG구조에 대해 간략하게 설명을 하자면 png의 파일 구조에는 중요 청크와 보조 청크로 나뉩니다. 그 중 중요 청크만 보자면 IHDR, IDAT, PLET, IEND가 있습니다. png파일을..

이번 시간에는 다음 문제인 Easy를 풀어보겠습니다. 문제에는 그냥 Easy라는것 밖에 없으니 쉽다는거겠죠??? 그럼 주어진 파일을 다운받고 실행을 시켜 봅시다. 흠...왠지 전에 문제랑 비슷할거 같아서 스테가노그래피 툴을 사용해도 되지만, 준비가 안된 관계로 사진 편집 프로그램으로 조절 해줬습니다. QR코드가 하나 뜨네요!! 그럼 이걸 QR Scanner로 열게되면 답이 나옵니다. 저는 핸드폰 QR Scanner를 사용한 관계로 나머지는 직접 하시길 바랍니다. 바코드 & QR코드 & URL등을 읽어주는 사이트인 https://www.onlinebarcodereader.com/로 가시면 구할 수 있습니다.

최근에 화이트해킹팀 H4CTEAM에서 새로 신설한 워게임 사이트가 열렸습니다. 소식을 듣고 바로 제가 공부하는 분야인 forensic 문제를 풀어보았습니다. 이번 블로그부터 순차적으로 롸업을 작성할 예정이니 설명을 잘 못하더라도 이해를 좀 해주시길 바랍니다. 문제를 보면 The important parts are painted입니다. 해석을 하면 중요한 부분에 페인트칠 되어있다라고 보면됩니다. 주어진 문제인 paint.png를 다운받아 보겠습니다. 플래그는 H4CGM{}형식인데 중괄호 안에 내용을 아예 가려서 안보입니다. 그럼 저 가려진 부분을 없애주면 답이 나오겠네요. 각자 들고 계신 사진편집 프로그램으로 검은 부분을 지워줍시다. 그럼 플래그 값을 찾을 수 있습니다.

이번 시간에 포스팅할 문제는 이전 시간과 이어지는 내용입니다. 이전 시간에 배웠던 내용을 되짚어 보면, 우리는 사용자의 계정을 확인 하기 위해 "Root\Users" 경로를 따라가 사용자의 계정이 어떤게 있는지 확인을 하고 삭제된 계정을 확인하기 위해서 이벤트 뷰어를 통해 analysis를 해야합니다. 계정이 삭제된 것을 파악하기 위해서는 이벤트 로그 파일중 Security를 확인 해야하며 경로는 "Root\Windows\System32\winevt\Logs" 에서 찾을 수 있습니다. 이번 시간에 풀어야 할 문제를 한 번 보겠습니다. 문제를 읽어 보면 어떤 방법으로 문제를 풀어야 할 지 추측이 가능할것입니다. 왜냐하면 하드 어딘가에 암호화(encryption)를 해두어 숨겨뒀다. 라는 문구가 보이니까 우..

이전 시간에 배웠던 것을 잠깐 되짚어 보자면 우리는 사용자의 흔적을 찾기 위해 로그 기록을 분석합니다. 로그는 컴퓨터 사용자가 어떤 행위를 했는지에 대한 정보가 담겨있는 곳이라고 했습니다. 그리고 "파일을 입수한 경로" 라는 말은 파일을 웹 브라우저에서 다운을 받든, 메일을 통해서 받든 인터넷을 통해서 얻어 온 파일이라는 뜻이고, 우리는 사용자가 웹 브라우저를 이용했을 때 분석하는 History분석 파일이 필요했습니다. 그래서 이 경로를 따라서 파일을 찾습니다. "root/Users/username/AppData/Local/Google/Chrome/User Data/Defalut/History" 찾고 나서 분석을 한 다음 파일 명이 변경되었다는 말이 있었으니까 파일에 대한 모든 정보를 저장하는 $Logf..

저번 시간에 유출된 자료 거래 사건 [1]에 대해서 풀어 보았습니다. [1]에서는 USB연결 로그를 확인하기 위해 윈도우에서는 "HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note" 에 기록이 남는다는걸 공부했고, 해당 하이브 파일은 "Windows\system32\config" 에 SOFTWARE라는 명칭으로 존재한다고 했습니다. 그리고 레지스트리 분석기를 통해서 Devices Note로 가면 몇 개가 연결되어있는지 알 수 있고, 장치 클래스 ID로 확인이 가능했습니다. 이번 시간에는 유출된 자료 거래 사건 [2]에 대해서 풀이를 해보겠습니다. 문제를 먼저 확인해보겠습니다. 저번 시간에서 USB의 흔적을 찾았으나 우리가 찾은 USB는 이미 산산..

이번 시간에는 Forensic Season 1B에 있는 유출된 자료 거래 사건[1]에 대해서 풀이를 진행하겠습니다. 문제를 먼저 보도록 하겠습니다. 읽어보면 회사에서 내부 자료가 유출을 당했다. 그리고 경찰은 유출된 자료가 판매되고 있다는 신고를 받고, 판매자와 구매자를 잡으려고 했으나 증거가 부족하다. 그래서 구매자의 pc를 이미지 덤프를 하고 우리 회사에 의뢰를 맡겼으니 해결해주어야 한다. 간단하게 말해서 구매자의 집에 수상한 usb가 많이 발견되었다는 건 usb로 내부 자료를 유출했다고 의심이 든다. 그래서 연결된 usb를 찾아보자. 일단은 구글 드라이브에 저장되어 있는 문제 파일을 다운로드하도록 하자. 이렇게 생긴 압축파일을 하나 받을 것이다. 압축을 풀면 vmdk라는 확장자를 가진 가상 머신이 ..

이번 시간에는 Infect 문제를 풀어보겠습니다. 먼저 문제를 보겠습니다. 악성코드에 감염된 PC이다. 악성프로그램을 찾아 파일명과 실행시각을 알아내라!!! KST기준으로 설정하라는거니까 UTC + 9를 하면되겠죠 ㅎㅎ 주어진 파일을 다운받아 봅시다. ad1이라는 확장자명을 가지고 있네요?? ad1 파일은 이미징 도구를 통해서 분석을 해야 하는겁니다. 주로 알려진 이미징 도구는 FTK Imager인데 설치 방법은 따로 설명하지 않겠습니다. 그럼 FTK Imager를 이용해서 분석을 해보겠습니다. 도구를 이용해서 infect.ad1 파일을 불러오면 이런 화면이 나옵니다. 보통 로그 기록을 확인해야 하지만 해당 폴더에는 로그 기록이 있지 않았습니다. 왜냐하면 (/root/$Logfile/$MFT/$Exten..