비전공자의 포렌식일기

CyberDefenders에 나와있는 BlackEnergy라는 문제를 풀고 롸업을 작성했다.롸업에 오타나 이상이 있으면 언제든지 댓글 달아주시면 감사하겠습니다.https://weasley-forensics.notion.site/CyberDefenders-BlackEnergy-Write-up-01dd9546e5d64de1b6d1e00cd37dc54e?pvs=4

어....음...오랜만에 올리는 포스팅인데, CTF라서 조금 별로일 수 있습니다.그래도 나름 노력해서 글을 썼으니 읽어주시면 감사하겠습니다!! https://weasley-forensics.notion.site/CyberDefenders-Insider-f17f3614825f451e870997c326d35307?pvs=4

https://weasley-forensics.notion.site/CyberDefenders-Bucket-6252354debba44ad8db044d87b7a347a?pvs=4 언제든지 피드백 부탁드려요~

Windows에는 다양한 아티팩트가 생성된다. 프로그램을 실행했을 때 생성되는 아티팩트, 컴퓨터를 부팅했을 때 생기는 아티팩트들도 존재한다. 사용자의 행적을 찾기 위해서는 사용자가 어떤 프로그램을 사용했는지에 대한 흔적을 찾는 것은 중요하다. 레지스트리의 Amcache도 있을거고, LNK 파일, JumpList 등 다양한 아티팩트에서 행적들을 찾을 수 있는데 오늘 여기서는 Prefetch 파일을 다뤄보려고 한다. https://weasley-forensics.notion.site/Windows-Prefetch-c629bd6f4a9b4708a938a5689a82f9a0?pvs=4

오타, 잘못된 지식 등 피드백 댓글 달아주세요. https://weasley-forensics.notion.site/ShellBags-8ed9336ef87f43ecb5804b68dda8daa1

새해에 앞서 CTF 실력이...많이 좋지 않은걸 깨닫고 나름 퀄리티 좀 있는 사이트인 Hack The Box에서 기본적으로 제공해주는 문제를 풀어보기로 결심했다...이 문제를 시작으로 포렌식 문제를 모두 풀어볼 것 이다. 문제를 보겠습니다. Suspicious traffic was detected from a recruiter's virtual PC. A memory dump of the offending VM was captured before it was removed from the network for imaging and analysis. Our recruiter mentioned he received an email from someone regarding their resume. A copy..

최근 Cyberdefenders 사이트의 포렌식 문제를 하나씩 접하는 중이여서 write-up을 작성해보려고 합니다. 문제 파일을 다운 받으면, E01로 된 디스크 이미징 파일이 주어지고 이 파일은 분할이 되어 있기 때문에 파일 1개라도 옮길 경우 분석이 불가능하다. 그리고 리눅스 포렌식이기 때문에 설명이 정확하지 않을 수 있다는 점 참고 바랍니다. 시나리오를 보겠습니다. [시나리오] This #Linux image belongs to a user who likes to play games and communicate with friends. Is there something happening under the hood? Test drive your #LinuxForensics skills and ide..

보호되어 있는 글입니다.

10월 23일 참가한 jade CTF에서 DFIR 카테고리의 문제들을 풀어봤는데, 새로운 유형을 본 것 같아 풀이를 작성하려고 한다. [LM 10] 문제를 보겠습니다. 네트워크 패킷을 분석하여 플래그를 찾는 문제이다. 패킷을 열어, HTTP object list를 열어보니 flag.txt가 보이길래 해당 패킷에 가서 데이터를 봤습니다. URL이 하나 존재하며, 링크를 타고 들어가보니까 노래가 하나 나옵니다. flag.txt는 가짜인 것으로 판별이 나서 jpg 파일들을 하나씩 카빙을 진행하였고, 사진속에 플래그 값이 있는 것을 확인할 수 있었다. [Auto CAD] 문제를 보겠습니다. 문제를 해석해보면, 이벤트에 대한 포스터를 디자인하는 작업이 주어졌습니다. 디자인 도중, 당신은 잠시 휴식을 취했고, 돌아..

2022년 10월 23일 참가했던 CTF이다. 바로 풀이를 시작하겠습니다. [Wrong Spooky Season] 문제를 한번 보겠습니다. (사진이 없어 글로 대체하겠습니다) "I told them it was too soon and in the wrong season to deploy such a website, but they assured me that theming it properly would be enough to stop the ghosts from haunting us. I was wrong." Now there is an internal breach in the `Spooky Network` and you need to find out what happened. Analyze the t..