비전공자의 포렌식일기

문제를 보겠습니다. 주어진 파일을 실행시켜 보니 그냥 하얀 배경만 나왔습니다. 음...딱봐도 스테가노이기 때문에 stegsolve로 열어보니 플래그 값을 찾을 수 있었습니다.

문제를 보겠습니다. 주어진 파일을 다운 받으면 로고 하나가 나옵니다. hxd에서는 헷갈려서 binwalk를 써봤습니다. binwalk --ren-as=root logo.jpg EXIF로 된 파일을 볼 수 있었습니다. 그래서 exiftool을 이용해서 출력을 시켜 보겠습니다. 출력을 시켜주니 now_youre_thinking_with_exif라고 적혀있는 주석 값을 찾을 수 있었습니다. 그리고 hxd로 열어보니 동일한 값이 눈에 들어왔습니다.

문제를 보겠습니다. test.html을 누르니 qr코드가 하나 나와서 qr 스캔을 하니까 답이 나왔습니다. FLAG : 8febb919bc0fc08e3e1108b1b6bfef37

문제를 보겠습니다. 주어진 파일을 다운 받아서 hxd로 열어봤습니다. 근데 jpg확장자인데 헤더 시그니처가 없는것으로 보아 수정을 시켜줘봤습니다. FF D8을 넣어줬습니다. 답을 구할 수 있었습니다.

문제를 보겠습니다. 주어진 문제를 hxd로 열어 보겠습니다. PKZIP 형식으로 된 것을 보니 확장자만 바꿔주면 될 것 같습니다. 바꿔주니 압축 되어있는 파일들이 있었습니다. secret.png를 열어보니 헤더 시그니처가 빠져서 시그니처를 추가시켜주니 답을 찾을 수 있었습니다.

문제를 보겠습니다. 문제를 보면, 1000개의 파일이 존재하는데 이 중 jpeg로 된 사진만 찾으면 됩니다. 파일을 압축푸니 1000개의 파일이 생겼습니다. unzip data.zip 그다음 jpeg로 된 사진을 찾아야 하는데, 다음과 같은 명령어로 한번 찾아봅시다. file * | grep "JPEG" 이 명령어를 사용했을 경우 답을 찾을 수 있었습니다.

문제를 보겠습니다. 마찬가지로 파일을 다운 받아 hxd로 열어보겠습니다. 또 zip 형식으로 되어 있어 zip으로 바꿔주니 플래그를 찾을 수 있었습니다.

문제를 보겠습니다. 파일을 다운 받아보니 튤립이 하나 있습니다. 음...그래서 스테가노그래피인거 같아서 stegsolve를 사용했습니다. 뭔가 적혀있는 것 같아서 확대를 시켜봤습니다. 원본에서 확대를 시켜보니 답을 찾을 수 있었습니다. 이런식으로 말이죠!!!

이번 시간에 공부를 할 개념은 슬랙 공간입니다. 슬랙 공간(Slack Space) 슬랙 공간은 물리적인 크기와 논리적인 크기 차이로 인해 낭비가 되는 공간으로써, 물리적으로는 할당된 공간이지만 논리적으로는 사용할 수 없는 공간을 의미합니다. 이 부분에 대해서는 실제 포렌식 문제를 가지고 와서 설명을 드리겠습니다. (램 슬랙 참고!!) 디스크는 데이터를 섹터 단위로 읽고 쓰기 작업이 이루어지며 디스크 입출력 속도를 향상시키기 위해서 여러 개의 섹터를 묶어서 한 번에 처리하게 끔 클러스터라는 개념을 사용합니다. * 클러스터 : 여러 개의 섹터(512Byte)를 묶은 개념, 운영체제에서 사용하는 데이터 저장의 최소 단위로 사용 디스크는 섹터, 클러스터 단위로 입출력을 처리하지만 파일은 가변적이기 때문에 파일의..

문제를 보겠습니다. 문제를 보면, 시스템에 원격으로 접근하는 방법은 여러가지가 있는데, 그 중 공격자가 원격 접근 방식을 사용했다. 연결한 IP 주소는 무엇인가?? 결국엔, 클라이언트 원격 관리 서비스의 이름을 가진 프로그램을 찾아야 하는데, 일단 팀뷰어를 가지고 원격을 접속하고, 또 프로그램을 실행한 것으로 보아 netscan 플러그인을 사용하겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 다양한 네트워크 흔적들을 보았을 때, 팀뷰어를 실행하고 난 후 프로세스들을 보면 outlook, mstsc 등등 있는데, mstsc는 마이크로소프트에서 구성하는 터미널 클라이언트 원격..