비전공자의 포렌식일기

문제를 보겠습니다. 주어진 flag 파일을 리눅스에서 file 명령어로 파일의 유형을 보게 되었는데, gzip으로 되어 있었습니다. 그래서 윈도우에서 flag 파일을 .zip 확장자를 추가 해준 결과 flag파일이 하나 더 나왔습니다. 압축을 해제하여 메모장으로 열었는데, 플래그값을 볼 수 있었습니다. FLAG : ABCTF{broken_zipper}

문제를 보겠습니다. 주어진 hidden.png파일을 다운받아서 실행시켜 봅시다. 귀여운 강아지 한마리가 있는데, 문제에서 보면 "사진 속에서 빨간색이 이상해 보이나요?" 이뜻은 뭔가 사진이 겹쳐져있다. 라고 판단을 하여 스테가노 그래피인것을 알았습니다. 이미지 파일을 색상과 비트별로 분석해주는 사이트에 가서 분석을 해봤습니다. 그러자 플래그 값을 찾을 수 있었습니다.

4월 1일부터 4월 3일까지 개최되는 Space Heroes CTF2022에 참가하였다. 뒤늦게 알게되어 4시간정도밖에 시간이 없었지만 열심히 하려고 했다. [Space Captain Garfield] 주어진 파일을 다운 받으니, 다음과 같은 사진이 나왔습니다. 글 대신 이모티콘이 있음을 알았고, 저 그림과 동일한 사진을 찾기 위해 구글에서 사이트를 1시간 가량 뒤졌습니다. 그래서 동일한 사진을 찾았습니다. 저기 사람이 한명 추가되었고 ?????{??????????????}로 되어있는것이 있어 저게 플래그 값이구나 싶어서 따라 입력했습니다. FLAG : SHCTF{LASAGNALOVER} [The Legend of the Chozo] 주어진 파일을 다운 받으니 .chr 확장자로 되어 있어서 메모장으로 열..

안녕하세요. 메모리 포렌식을 깊게 공부하기 위해서 분석 파일을 찾다가 해당 사이트에서 샘플 파일들을 찾았습니다. https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples 그 중 하나인 Cridex malware를 분석할 것입니다. Cridex malware란? 사용자의 금융 기록에 액세스하기 위해 감염된 시스템에서 인터넷 뱅킹 및 개인 정보를 훔칠 수 있는 악성코드입니다. Cridex는 감염된 시스템에 백도어를 생성하여 악성 웹사이트를 여는 것과 같은 작업을 수행할 뿐만 아니라 추가 맬웨어를 다운로드 및 실행할 수 있으며, 이 기능을 통해 금융 웹 사이트를 방문하여 로그인을 할 때, 감염된 시스템에서 사용자의 은행 정보를 캡처 합니다...

A과제 : Volatility 플러그인들을 정리하고, 사용법을 실습해보기(실습은 Cridex 분석으로 하겠습니다 하지만 모든 플러그인에 대해서는 다루지 않을 것이며, 몇몇 분석에 필요한 플러그인만 다루도록 하겠습니다.) 먼저, 메모리 포렌식에 대해서 정의를 해보겠습니다. 메모리 포렌식이란 컴퓨터 구조의 하드웨어에서 주 기억장치인 RAM에 남아있는 데이터 흔적을 분석하는 기법입니다. 우리가 FTK Imager같은 툴로 Memory Capture를 실습했을 때, 나왔던 mem파일이 RAM의 데이터를 덤프한 파일입니다. RAM은 휘발성이 강한데도 불구하고 프로세스 정보, 네트워크 연결 정보, 악성코드 파일 정보, 시스템 관련 데이터 구조, 사용자 활동 정보 등 고유의 정보들이 남아 있습니다. 그 이유는 컴퓨터..

A과제 : 디스크 덤프, 디스크(이미지) 마운트, 메모리 덤프 실습 실습 진행을 위해서 사용한 프로그램 입니다. VHD만들기 [디스크 관리] - [동작] - [VHD 만들기] 를 한 다음 다음과 같이 입력 해주시면 됩니다. 실습을 진행할 가상 디스크는 512MB짜리로 mbr 파티션 스타일로 포맷을 하였고, NTFS 파일 시스템으로 진행을 했습니다. 먼저, 준비한 파일들은 다음과 같습니다. 3장의 jpg 파일을 준비 하였고, 파일을 삭제 하도록 하겠습니다. [디스크 덤프] 디스크를 덤프하기 위해서는 FTK Imager를 실행한 후 다음과 같이 따라 하시면 됩니다. [File] - [Add Evidence Item] - [Physical Drive] - [덤프할 디스크] 저 같은 경우는 PHYSICALDRI..

저번 시간에 컴퓨터의 구성 요소에 대해서 배웠습니다. 간략하게 다시 짚어보면 다음과 같습니다. 컴퓨터의 구성요소는 "보조기억장치, 주기억장치, 입력 장치, 출력 장치, 중앙처리장치(CPU)"로 나뉘어져 있습니다. 보조기억장치 : 물리적인 디스크가 연결되어 있는 기억장치 주기억장치 : 물리적인 디스크가 아니라 컴퓨터 내부에서 CPU가 처리하면서 내용을 저장하고 있는 기억장치 입력장치 : 사용자가 컴퓨터를 사용할 때, 전기 신호를 전달함으로써 데이터를 전달해주는 것 (키보드, 마우스) 출력장치 : 입력장치를 통해 신호를 주면, 그 데이터를 사람이 이해하는 형태로 변환해주는 것 (프린터, 모니터) 중앙처리장치(CPU) : 컴퓨터 내부에서 데이터를 제어, 연산 해주는 장치 (ALU, CU) 오늘은 반도체를 이용..

HackCTF의 마지막 문제입니다. 문제에 적혀 있듯이 LSB관련된 문제임을 바로 알았습니다. LSB에 대해서 간략하게 설명 하겠습니다. LSB는 Least Significant Bit의 약자로써 하나의 데이터 형에서 가장 낮은 위치의 Bit를 의미합니다. 반대로 하나의 데이터 형에서 가장 높은 위치의 Bit는 MSB라고 합니다. 그림을 통해서 쉽게 알아 보겠습니다. 일단 LSB의 위치는 가장 값이 작은 비트인 2^0에 위치하고 있는 것을 알 수 있습니다. 이 LSB의 값을 이용하여 해당 데이터 형에 들어있는 실제 숫자가 짝수인지 홀수인지 손쉽게 알아낼 수 있습니다. LSB는 프로그래밍 시 주로 난수발생 함수, 해시 함수, 검사합(Checksum) 함수 등에서 많이 쓰이고 있습니다. 왜냐하면 LSB는 값..

문제를 보겠습니다. zip파일을 다운 받고 압축을 풀면 2장의 사진이 나옵니다. 이렇게 보면 똑같이 생겼습니다..하지만 문제에 나와 있듯이 잔상...잔상...compare...을 생각해보니 두 사진을 비교를 해야 하는것을 알아냈고, hxd에디터에 compare기능을 한번 활용 해봤습니다. 경로는 다음과 같습니다. 경로 : [Analysis] - [Data comparison] - [compare] 기능을 써보니 먼가 값이 0x48, 0x61 ... 등등 아스키 값으로 Hack이란 글자를 볼 수 있었고, 다음과 같은 파이썬 코드를 짰었는데, 플래그 값이 정상적으로 출력 했습니다.

문제를 보겠습니다. 7z파일을 다운받아서 7-zip으로 압축을 풀었습니다. 풀게되면 jpg파일이 하나 나오는데, hxd에디터로 열어보니 확장자랑 hex 값이랑 너무 달라서 칼리에서 file로 어떤 유형인지 확인해봤습니다. 명령어 실행 후, M4A 오디오 파일임을 알았습니다. M4A 오디오 파일이란? MPEG-4 오디오 파일입니다. 애플 iTunes Store에서 노래를 다운로드하면 m4a파일로 다운이 되며, 뒤에 ALAC/AAC-LC는 파일의 크기를 줄이기 위한 인코딩 방식입니다. ALAC(Apple Lossless Audio Codec), AAC(Advanced Audio Coding) 문제로 넘어가서 확장자를 m4a로 바꾸고 실행시키면 소리가 나오는데, 소리가 뒤집어 져 있는 상태로 플레이가 되어 있..