비전공자의 포렌식일기

이번 시간에 분석해볼 패킷은 SANS Puzzle.pacp 파일입니다. 문제는 시나리오 기반으로 되어 있으며, 생각보다 쉽게 풀려서 글을 빠르게 쓰도록 하겠습니다. 더보기 [ 시나리오 ] Ann’s과 친구는 메신저로 중요한 음식의 비밀 레시피를 주고 받았다. 우리가 획득한 패킷을 분석하여 해당 레시피가 무엇인지 획득하고 다음과 같은 물음에 답변하여라. [ 문제 ] 1. Ann's의 친구의 메신저 이름은 무엇인가? 2. 캡쳐된 메신저 대화 중 첫번째 대화는 무엇인가? 3. Ann's가 보낸 파일의 이름은 무엇인가? 4. 당신이 추출하고자 하는 파일의 시그니처는 무엇인가? 5. 파일의 MD5 해쉬 값은 무엇인가? 6. 파일 안에는 어떤 내용이 들어있는가? 바로 문제를 풀어보도록 하겠습니다. 먼저, 와이어샤크..

이번 시간에는 무선랜으로 패킷이 잡혀있는 패킷 파일을 분석을 진행 해보도록 하겠습니다. 패킷 파일을 실행시켜 보면 암호화 된 패킷들이 보이는데 지금처럼 무선랜 환경에서의 패킷은 암호화가 된 상태로 잡히게 됩니다. 패킷들을 살펴보면 wep 프로토콜로 암호화가 된 것을 볼 수 있는데, 암호화가 된 패킷들은 크랙을 통하여 복호화를 시켜줘야 합니다. 복호화를 하기 위해서는 Aircrack-ng 프로그램이 필요한데, 복호화를 하는 순서를 보겠습니다. 일단, wep를 복호화 하기 위해서는 키가 필요합니다. WEP 암호화 키는 64bit일 경우 01:02:03:04:05 와 같이 입력을 해야 하고, 128bit일 경우에는 0102030405060607080 이런식으로 키 값이 나오는 것을 볼 수 있습니다. 먼저, F..

몇일 전, 아는 지인분에게 패킷 공부를 좀 하고싶다. 파일을 좀 달라해서 얻은 패킷 파일인 HackThePacket입니다. 난이도는 막 그렇게 어렵지 않으며, 저처럼 처음 네트워크 패킷 포렌식을 공부하는 입장에서는 간단하게 풀 수 있는 문제입니다! 문제를 한번 보겠습니다. 더보기 Telnet의 패스워드를 찾으시오. 80번 포트로 업로드 된 파일명을 찾으시오. 네이버에서 검색한 검색어를 찾으시오.(한글) 인터넷 쇼핑 중 실행된 웹쉘을 찾으시오? 찾아야 하는 문제는 총 4개로 바로 풀이를 해보도록 하겠다. Telnet의 패스워드를 찾는 문제이다. 텔넷은 인터넷이나 로컬 영역 네트워크 연결에 쓰이는 네트워크 프로토콜이다. 쉽게 말해서 네트워크 관리를 할 수 있는 프로토콜입니다. 텔넷은 패킷이 잡힐 때, Pro..

웹 서버 로그분석은 침해 사고에 있어 가장 빈번하게 일어난다. 그렇게 때문에 분석을 진행 해보았다. 웹 서버 웹 서버는 소프트웨어로 보면 웹 브라우저와 같은 클라이언트로부터 HTTP 요청을 받아 들이고, HTML 문서와 같은 웹 페이지를 반환하는 컴퓨터 프로그램이고, 하드웨어로 본다면 위에서 언급한 기능을 제공하는 컴퓨터 프로그램을 실행하는 컴퓨터이다. 웹 서버를 분석하는 이유 분석하는 이유는 다양하지만 웹 서비스를 운영하고 있는 서버 관리자라면 외부에서 어떤 요청이 들어오고 있는지, 그리고 어떤 사용자가 있는지에 대한 정보를 담고 있는 Access 로그에 관심을 가지는 것이 당연하다. 왜냐하면 사람도 마찬가지지만 본인의 물건에 누가 손을 대는 것 조차 싫어하시는 분들이 많은데 서버도 마찬가지이다. 외부..

보호되어 있는 글입니다.

이번에 롸업을 쓸 CTF는 SEKAI CTF 2022입니다. [Broken Converter] 문제를 해석 하자면, 미쿠는 마침내 과제를 마쳤고 제출할 준비가 되었지만, 어떤 이유로 학교는 모든 과제를 .xps 파일로 제출하도록 요구한다. 미쿠는 온라인에서 변환기를 찾았고 변환된 파일을 제출에 사용했다. 파일이 처음에는 좋아 보였는데, 변환기에 뭔가 고장난 것 같아요. 무엇이 문제인지 그녀가 알아내는 것을 도와줄 수 있나요? 인데 결국은 xps 파일을 가지고 문제를 해결하라는 것이다. xps 파일을 다운로드 받고 hxd로 열어보면 zip형식으로 되어 있는것을 확인할 수 있었다. zip 형식으로 바꿔주면 파일들을 볼 수 있다. 파일들을 하나씩 다 보다보면 Resources 경로에 odttf 파일을 볼 수 ..

보호되어 있는 글입니다.

문제를 보겠습니다. Victoria가 지시한 허위적인 웹 사이트를 찾는 문제입니다. 웹 사이트에 대한 정보를 간략하게 보면, 그녀의 계좌 잔고를 확인하기 위해 계좌에 대한 접근 권한을 계속 유지하기로 결정한니까 결국엔, 계좌 관련 (은행) URL 이기 때문입니다. 주어진 패킷을 보겠습니다. [File] - [Export Objects] - [HTTP] 을 들어가면 URL에 대한 정보들을 확인 할 수 있습니다. 정보들을 확인해볼때 은행 관련된 URL들을 확인할 수 있었습니다. bankofamerica? 라는 키워드를 가지고 구글에 검색을 해보겠습니다. 은행 관련 사이트가 검색이 되네요..! 그러면 .com으로 되어 있는데 위에서 본 패킷은 .net으로 되어 있습니다.\ 그래서 networkminer로 pa..

지난 시간에 NTFS 파일 시스템을 배웠습니다. 이번에는 NTFS 파일 시스템에서 가장 중요한 MFT 파일의 구조를 배워 보겠습니다.MFT 파일이란?MFT 파일은 NTFS 파일 시스템에서 파일, 디렉터리, 메타데이터를 모두 "파일" 형태로 관리하는 파일 입니다. 예전에 배웠던 FAT 파일 시스템에서 본 디렉터리 엔트리의 상위 개념이라고 이야기 할 수 있습니다. 그리고 나중에 구조를 보시면 아시겠지만 FAT 파일 시스템과는 좀 많이 다르기 때문에 설명에 있어 길어지는 점 양해를 부탁바랍니다. MFT 영역의 구조를 한번 보겠습니다.MFT 영역은 위 그림을 보면 아시겠지만 VBR 영역 이후에 오게 됩니다. 그림에서는 이어서 바로 오는 것 처럼 표현이 되었지만 실제로는 VBR과 MFT 사이의 물리적인 공간이 존..

디렉터리 엔트리는 Windows의 FAT(File Allocation Table) 파일 시스템에서 파일의 이름, 확장자, 위치, 크기, 시간 정보들을 표현하기 위한 구조체입니다. 하나의 파일 및 디렉터리는 각각의 메타정보를 표현하기 위해 하나의 디렉터리 엔트리를 가집니다. FAT 파일 시스템에서 FAT 영역에 이어 오는 루트 디렉터리(Root Directory)영역을 살펴 보면 최상위 디렉터리에 존재하는 파일들의 디렉터리 엔트리를 확인할 수 있습니다. (FAT32는 루트 디렉터리가 파일 시스템 어느 곳에나 올 수 있습니다.)디렉터리 엔트리는 32바이트의 고정된 형태로 해당 파일의 메타정보를 표현하는데 구조를 한번 보겠습니다.위에 보시는 구조를 가지는 파일을 SFN(Short File Name)이라합니다...