비전공자의 포렌식일기

문제를 한번 보겠습니다. 주어진 zip파일을 다운받아 ftk로 실행을 시켜보겠습니다. 실행을 시켜보니 안에 들어있는 파일들이 전부다 zip bomb으로 설정되어 있었습니다. 그래서 hxd에디터로 zip파일의 끝인 50 4B 05 06를 입력 해봤습니다. 입력을 해보니 EOCD(End of Central Directory) 부분에는 이상이 없는거 같이 보였습니다. 근데, CDFH(Central Directory File Header)부분인 50 4B 01 02에서 수상한 패턴이 보이기 시작했습니다. 분명히 시그니처 부분에서는 이상이 없지만, 해당 영역을 가진 부분들이 ????yyyyyyy로 지정되어 있었습니다. 그래서 상단으로 더 올라가 CDFH가 시작되는 부분으로 갔습니다. 아까 제일 처음 보여줬던 사진..

문제를 보겠습니다. 주어진 img파일을 다운받아 ftk로 열어보겠습니다. 열었더니 수상한 파일이 하나 보였습니다. 확장자는 pptx인데, 우측 하단에 16진수로 표현된 헤더 시그니처가 50 4B 03 04로 zip파일의 시그니처로 지정되어 있습니다. 결국엔 확장자를 임의로 바꿔줬다고 생각을 하시면 될 것 같습니다. 저 pptx파일을 추출해서 zip으로 확장자를 바꾼 후 파일을 열어보겠습니다. 열어봤더니 다양한 폴더들이 존재하였고, 그 중 media폴더에 사진들이 여러개 있었는데, 그 중 하나만 수정 시간이 달랐습니다. 그래서 저 파일에 플래그 값이 숨어져있다고 생각을하고 저 사진을 추출하고 더블 클릭을 해봤습니다. 모스부호같이 어떤 기호인거 같은데...인터넷을 검색을 해보니까 maxicode라고 불리는 ..

문제를 한번 보겠습니다. 문제에서 "바이너리" 가 동작을 했다고 한다. 그래서 파일의 유형을 한번 알아보기 위해 다음과 같은 명령어를 실행했다. file binned 그러자 파일의 유형은 ELF로써, 유닉스 계열 운영체제의 실행, 오브젝트 파일, 공유 라이브러리 또는 코어 덤프를 할 수 있게 하는 바이너리 파일입니다. 쉽게 말해서 Windows에서 .exe확장자를 가진 것이 실행파일이듯 유닉스 계열 운영체제 에서 실행파일을 담당합니다. 실행파일이니 가상환경 스냅샷을 이용해서 저장을 하고 실행을 한번 해봤습니다. ./binned 실행을 했더니 다음과 같은 에러를 발생시켰습니다. 그래서 곰곰히 생각을 해보다가...문제를 다시 읽어봤습니다. 그러자 "바이너리가 동작을 한다" 라는 문구에 관심을 기울였고, 리눅..

문제를 보겠습니다. .core파일은 처음보는 것이기에 리눅스에서 어떤 유형의 파일인지 알아봣습니다. file fore1.core core파일은 segmentaiton fault 발생 시 생성되는 core dump file입니다. ELF파일을 어떻게 분석해야 할 지 잘 모르겠어서, 찾아보니 core파일은 메모리의 내용이 기록되어 있는 파일임을 알았고, strings로 txt파일을 만들어서 열어봤습니다. 이 부분을 보면 A L E 등등 대분자로 쓰여져 있는 값을 볼 수있습니다. 규칙은 A부터 시작해서 5번째 마다 대문자가 있는 것을 확인할 수 있었습니다. 그래서 문자열을 추출해내는 파이썬 코드를 작성해서 문자열을 추출 했습니다. if문에서 왜 i-3을 했냐면은 파이썬은 제로 인덱스 체제이기 때문에 A가 4번..

문제를 보겠습니다. 문제에서 준 파일은 이미지 파일입니다. 근데 "파일시스템이 손상된 것 처럼 보입니다. 우리가 가는 곳에는 파일시스템이 필요 없습니다" 우리는 이 말을 이해를 해야합니다. 제가 이해한 뜻은 "문제를 푸는데 파일 시스템이 필요없다" 즉, 파일 시스템을 복구할 필요가 없다는 것입니다. 그래서 hxd에디터로 열어보니까 MBR이 00으로 다 NULL값으로 채워져 있었습니다. 이 값을 복구할 필요가 없다는 것이죠. 그래서 혹시나 밑으로 내려봤더니, 데이터가 있는것을 보았고 jpg 시그니처로 보이는 파일들을 찾았습니다. 카빙을 진행 하였더니, 다음과 같은 사진을 볼 수 있었습니다. 그래서 Flag라는 단어가 있길래 입력을 했더니 정답 처리가 되었습니다ㅏ..

문제를 한번 보겠습니다. 주어진 파일을 다운 받아보겠습니다. 다운을 받으니 zip파일이 하나 있어, FTK Imager로 열어봤습니다. 열어보면 out.txt와 parse파일이 하나 있는데, out.txt에는 딱히 볼게 없었고, parse에서 Key Format을 입력해봤습니다. 그러자 이런 값을 얻을 수 있었습니다. 리눅스에서 다음과 같이 명령어를 입력해도 됩니다. strings parse | grep "h4ck" FLAG : h4ck1t{T0mmy_.....}입니다.

문제를 한번 보겠습니다. zip파일을 하나 주며, 파일을 다운 받아서 FTK로 열어보겠습니다. 열어보니 비어있는 폴더들이 엄청 많은데, 이것으로 보아 리눅스 시스템이다 라는것을 알 수 있으며, 우리는 "바보 같은 사용자를 찾아" 라고 문제에 써져있기 때문에 SHADOW, PASSWD 파일을 찾아야 하며 home디렉터리에 존재하는 사용자들을 찾아봐야 합니다. 먼저 SHADOW 파일부터 보겠습니다. 경로는 다음과 같습니다. /etc/shadow root : $6$PBY4XOYn$ : 16816 : 0 : 99999 : 7 : : : ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ① 사용자 계정 ② 암호화된 패스워드( *는 막혀있는 계정이다.) ③ 패스워드 최종 수정일 ④ 패스워드 변경 전 최소사용시간 (0으로 지정하면 언..

문제를 한번 보겠습니다. 덤프 파일을 줄테니 플래그 값을 구해라고 하여서 일단 7zip으로 압축을 풀어보았다. 풀면 DMP파일이 존재하는데, 칼리로 가져가서 파일의 유형을 한 번 알아보겠습니다. file [파일명] Mini DuMP라는 파일인데, 대소문자가 섞여있는것을 보니 정상적인 덤프파일이 아닐거라는 추측에 strings로 변환을 하여 어떤 문자열로 구성되어 있는지 확인하겠습니다. strings RunMe.DMP > RunMe.txt 다음과 같이 변환 명령어를 하시고, 바로 grep명령어를 통해서 특정한 문자열만 출력을 하겠습니다. cat RunMe.txt | grep "SharifCTF" 찾을 문자열을 지정을 한 이유는 파일의 데이터가 많아 보고 싶은것만 보고 싶어서입니다. 명령어를 입력해주니 플래..

문제를 보겠습니다. 문제를 보면 내부직원이 인터넷을 통해서 내부문서를 외부로 업로드를 하였다는 것으로 보아. P2P같은 사이트에 업로드를 했다는 것을 알 수 있습니다. 주어진 파일을 가지고 문제를 풀어 보도록 하겠습니다. 파일을 다음과 같이 FTK Imager로 열게 되면 다음과 같이 root경로에 다양한 폴더들이 존재하는 것으로 보인다. 각 폴더들은 하나의 app을 가지고 있었고, 이것으로 보아 그 app을 설치할 때 받았던 고유번호인것으로 추정이 됩니다. 각 app들은 다음과 같습니다. Weather.app, CGV2.app, CNN-iPhone.app, Podcasts.app, Dropbox.app, WebViewService.app, HousekeepingLog.app, MyPainting.app..

문제를 읽어 보도록 하겠습니다. 1. 가장 많이 접근한 사이트의 URL 2. 가장 많이 접근했던 사이트의 접근 시간 주어진 파일을 FTK Imager로 마운팅 해보겠습니다. 마운팅을 하면 Users가 하나 나옵니다. 근데 URL을 구해라고 했으니까 인터넷 웹 브라우저 히스토리일것을 추측하고 어떤 웹 브라어저를 사용했는지 한번 찾아봐야 합니다. 아무리 찾아도 크롬, 엣지, 웨일, 파이어폭스 등등의 웹 브라우저는 보이지 않지만...윈도우 익스플로러만 보입니다. 막간을 이용해서 Windows internet Explorer History가 남는 경로를 보겠습니다. 이렇게 표로 분류가 될 수 있는데요, 다시 문제를 살펴보겠습니다. Users폴더안에 username으로 불릴만한게 7ester폴더밖에 없습니다. 그..