비전공자의 포렌식일기

보호되어 있는 글입니다.

이번에 롸업을 쓸 CTF는 SEKAI CTF 2022입니다. [Broken Converter] 문제를 해석 하자면, 미쿠는 마침내 과제를 마쳤고 제출할 준비가 되었지만, 어떤 이유로 학교는 모든 과제를 .xps 파일로 제출하도록 요구한다. 미쿠는 온라인에서 변환기를 찾았고 변환된 파일을 제출에 사용했다. 파일이 처음에는 좋아 보였는데, 변환기에 뭔가 고장난 것 같아요. 무엇이 문제인지 그녀가 알아내는 것을 도와줄 수 있나요? 인데 결국은 xps 파일을 가지고 문제를 해결하라는 것이다. xps 파일을 다운로드 받고 hxd로 열어보면 zip형식으로 되어 있는것을 확인할 수 있었다. zip 형식으로 바꿔주면 파일들을 볼 수 있다. 파일들을 하나씩 다 보다보면 Resources 경로에 odttf 파일을 볼 수 ..

보호되어 있는 글입니다.

문제를 보겠습니다. Victoria가 지시한 허위적인 웹 사이트를 찾는 문제입니다. 웹 사이트에 대한 정보를 간략하게 보면, 그녀의 계좌 잔고를 확인하기 위해 계좌에 대한 접근 권한을 계속 유지하기로 결정한니까 결국엔, 계좌 관련 (은행) URL 이기 때문입니다. 주어진 패킷을 보겠습니다. [File] - [Export Objects] - [HTTP] 을 들어가면 URL에 대한 정보들을 확인 할 수 있습니다. 정보들을 확인해볼때 은행 관련된 URL들을 확인할 수 있었습니다. bankofamerica? 라는 키워드를 가지고 구글에 검색을 해보겠습니다. 은행 관련 사이트가 검색이 되네요..! 그러면 .com으로 되어 있는데 위에서 본 패킷은 .net으로 되어 있습니다.\ 그래서 networkminer로 pa..

혼공 8기로 마지막이네요 ㅎㅎ 많은 것을 배워왔지만...유독 습득이 늦은 챕터입니다.. "포인터" 악마입니다. 우리가 포인터를 배우기 전에 잠깐 지금가지 배운것을 정리를 해보면 변수 선언으로 메모리에 공간을 확보하고, 그곳을 데이터를 넣고 꺼내쓰는 공간으로 사용했습니다. 변수명은 확보된 메모리 공간을 식별할 수 있는 이름이였습니다. 그러나 변수는 블록, 함수 내부로 사용이 제한되어 있었습니다. 같은 변수명을 사용했다 하더라도 블록이나 함수가 다르면 "별도의 저장곤간을 확보" 하므로 전혀 다른 변수로 사용되는 것이죠...그래서 사용 범위를 벗어난 경우도 데이터를 공유할 수 있는 새로운 방법인 "포인터"의 개념에 배워보도록 하겠습니다. 메모리 주소 메모리라는 것은 우리가 데이터를 넣고 꺼내 쓰는 공간으로, ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

배열 배열이라는 개념을 접하기 전에 지금까지 우리는 메모리에 저장 공간을 만들기 위해 변수라는 것을 사용했습니다. 예를 들어 사과 10개를 담기 위해 AppleBox라는 변수명으로 변수를 하나 만들어 줬습니다. 하지만 또 다른 예로 5과목의 점수를 처리하고 싶을 때는 kor, eng, math, sci, social 등 하나씩 다 변수를 지정해줬습니다. 이렇게 하나씩 변수를 선언하면 점수도 일일이 하나씩 넣어줘야 하는 번거로움이 있기 때문에 우리는 배열이라는 개념을 알고 있어야 합니다. 쉽게, 배열은 같은 형태의 많은 데이터를 반복하여 처리하기 위해서 메모리에 "연속적"으로 저장해놓고 쪼개서 사용하는 방법이라고 생각을 하시면 됩니다. 잘 이해가 안가시겠지만 예제로 보겠습니다. %p 서식 지정자에 대해서는..

저번 시간에 이어 NTFS도 바로 복구를 해보겠습니다. 마찬가지로, 악용을 하시면 법적인 책임을 물 수도 있으니 공부할 때만 사용하십시오. 배우기에 앞서 선행되어야 하는 내용은 다음과 같습니다. NTFS 구조 : https://lemonpoo22.tistory.com/202 MBR 구조 : https://lemonpoo22.tistory.com/23 실습할 내용은 다음과 같습니다. BR영역이 손상된 파티션 복구 알아야 할 내용 : 파티션 정보, LBA 시작주소, 파티션 총 섹터 수 먼저, 실습파일을 FTK로 열어보겠습니다. 파티션 1개가 보이고, Unrecognized로 보이는 것으로 보아 손상된 파티션임을 알 수 있었습니다. 그래서 FTK를 닫고, Hxd 에디터로 디스크 정보를 한번 보겠습니다. 영역 ..

*지금부터 작성을 하는 공부들은 악용을 할 시 법적인 책임을 질 수 있으니 공부 용도로만 쓰길 바랍니다. 배우기에 앞서, 사전 지식이 필요하여 2개를 보고 오시는 것을 추천드립니다. MBR 구조 : https://lemonpoo22.tistory.com/23 FAT32 구조 : https://lemonpoo22.tistory.com/84 우리가 Windows 시스템에서 가장 많이 사용하는 파일 시스템 포맷인 FAT32, NTFS 포맷의 파티션이 손상되었을 경우 복구하는지 배워볼 것 입니다. 우선 실습 파일은 따로 올리지 않겠지만, 복구하는 방법이 동일하기 때문에 혹시 직접 실습을 해보고 싶다면, 가상 디스크를 하나 만들어서 똑같이 영역을 손상시켜 공부해보는 것을 추천드립니다. 실습 시나리오는 다음과 같다..