비전공자의 포렌식일기

이번 시간에 포스팅할 문제는 이전 시간과 이어지는 내용입니다. 이전 시간에 배웠던 내용을 되짚어 보면, 우리는 사용자의 계정을 확인 하기 위해 "Root\Users" 경로를 따라가 사용자의 계정이 어떤게 있는지 확인을 하고 삭제된 계정을 확인하기 위해서 이벤트 뷰어를 통해 analysis를 해야합니다. 계정이 삭제된 것을 파악하기 위해서는 이벤트 로그 파일중 Security를 확인 해야하며 경로는 "Root\Windows\System32\winevt\Logs" 에서 찾을 수 있습니다. 이번 시간에 풀어야 할 문제를 한 번 보겠습니다. 문제를 읽어 보면 어떤 방법으로 문제를 풀어야 할 지 추측이 가능할것입니다. 왜냐하면 하드 어딘가에 암호화(encryption)를 해두어 숨겨뒀다. 라는 문구가 보이니까 우..

이전 시간에 배웠던 것을 잠깐 되짚어 보자면 우리는 사용자의 흔적을 찾기 위해 로그 기록을 분석합니다. 로그는 컴퓨터 사용자가 어떤 행위를 했는지에 대한 정보가 담겨있는 곳이라고 했습니다. 그리고 "파일을 입수한 경로" 라는 말은 파일을 웹 브라우저에서 다운을 받든, 메일을 통해서 받든 인터넷을 통해서 얻어 온 파일이라는 뜻이고, 우리는 사용자가 웹 브라우저를 이용했을 때 분석하는 History분석 파일이 필요했습니다. 그래서 이 경로를 따라서 파일을 찾습니다. "root/Users/username/AppData/Local/Google/Chrome/User Data/Defalut/History" 찾고 나서 분석을 한 다음 파일 명이 변경되었다는 말이 있었으니까 파일에 대한 모든 정보를 저장하는 $Logf..

저번 시간에 유출된 자료 거래 사건 [1]에 대해서 풀어 보았습니다. [1]에서는 USB연결 로그를 확인하기 위해 윈도우에서는 "HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note" 에 기록이 남는다는걸 공부했고, 해당 하이브 파일은 "Windows\system32\config" 에 SOFTWARE라는 명칭으로 존재한다고 했습니다. 그리고 레지스트리 분석기를 통해서 Devices Note로 가면 몇 개가 연결되어있는지 알 수 있고, 장치 클래스 ID로 확인이 가능했습니다. 이번 시간에는 유출된 자료 거래 사건 [2]에 대해서 풀이를 해보겠습니다. 문제를 먼저 확인해보겠습니다. 저번 시간에서 USB의 흔적을 찾았으나 우리가 찾은 USB는 이미 산산..

이번 시간에는 Forensic Season 1B에 있는 유출된 자료 거래 사건[1]에 대해서 풀이를 진행하겠습니다. 문제를 먼저 보도록 하겠습니다. 읽어보면 회사에서 내부 자료가 유출을 당했다. 그리고 경찰은 유출된 자료가 판매되고 있다는 신고를 받고, 판매자와 구매자를 잡으려고 했으나 증거가 부족하다. 그래서 구매자의 pc를 이미지 덤프를 하고 우리 회사에 의뢰를 맡겼으니 해결해주어야 한다. 간단하게 말해서 구매자의 집에 수상한 usb가 많이 발견되었다는 건 usb로 내부 자료를 유출했다고 의심이 든다. 그래서 연결된 usb를 찾아보자. 일단은 구글 드라이브에 저장되어 있는 문제 파일을 다운로드하도록 하자. 이렇게 생긴 압축파일을 하나 받을 것이다. 압축을 풀면 vmdk라는 확장자를 가진 가상 머신이 ..

이번 시간에는 Infect 문제를 풀어보겠습니다. 먼저 문제를 보겠습니다. 악성코드에 감염된 PC이다. 악성프로그램을 찾아 파일명과 실행시각을 알아내라!!! KST기준으로 설정하라는거니까 UTC + 9를 하면되겠죠 ㅎㅎ 주어진 파일을 다운받아 봅시다. ad1이라는 확장자명을 가지고 있네요?? ad1 파일은 이미징 도구를 통해서 분석을 해야 하는겁니다. 주로 알려진 이미징 도구는 FTK Imager인데 설치 방법은 따로 설명하지 않겠습니다. 그럼 FTK Imager를 이용해서 분석을 해보겠습니다. 도구를 이용해서 infect.ad1 파일을 불러오면 이런 화면이 나옵니다. 보통 로그 기록을 확인해야 하지만 해당 폴더에는 로그 기록이 있지 않았습니다. 왜냐하면 (/root/$Logfile/$MFT/$Exten..

이번 시간에는 N0Named CTF 워게임 사이트에 있는 Forensic Season1 A에 있는 문제 중 길에서 주어온 만두를 풀어보겠습니다. 일단 문제를 봅시다. zip파일이 하나 주어지는데요, 다운 받아봅시다. 다운을 받았으면 압축을 바로 풀어봅시다. 압축 파일안에 png파일과 readme.txt 파일이 들어있네요?? 일단 텍스트 파일인 readme.txt파일을 열어 봅시다. 엥..? 아까 우리가 다운을 받았던 문제와 똑같은 텍스트가 있으니 불필요한 파일인걸 알 수 있습니다. 그럼 사진을 열어보겠습니다. 왠 오뚜기 같이 생긴 사진이 있네요..? 근데 flag값이 존재하지 않으니 바로 hxd에디터로 열어보겠습니다. 확장자가 png파일이였으니까 헤더 시그니처와 푸터 시그니처를 한번 살펴 봅시다. png..

안녕하세요. 이번 시간에는 Forensic Season 1A 카테고리에 입사테스트[1]을 해보겠습니다. 먼저 문제를 보겠습니다. 이전 문제에 풀었던 회사에서 이런 문제를 냈나봐요 ㅎㅎ 그럼 바로 풀어드려야죠 주어진 파일을 다운 받아봅시다. zip파일로 되어있네요 그럼 압축을 풀어보겠습니다. 오잉...? 왠 압축 파일안에 F14g.txt파일을 제외한 모든 파일 확장자 뒤에 보시면 *이라고 있습니다. *이 적혀 있다는건 파일이 암호화 되어있다는 것입니다. 즉 우리는 비밀번호가 걸려있는 파일의 패스워드를 찾아서 풀어야 한다는 의미입니다. 이때 우리는 무차별 대입이라는 brute-force 기법을 활용할것 입니다. Brute-force란? 무차별 대입 공격이라고 불리며 특정한 암호를 풀기 위해 가능한 모든 값을..

안녕하세요!!! 저번 시간에는 hxd에디터로 PNG파일의 고유 헤더 시그니처인 89 50 4E 47 0D 0A 1A 0A로만 바꿔주면 바로 flag값이 나왔습니다. 이번에는 50점을 주는 문제인 회사 찾기를 풀어 보겠습니다. (오늘도 설명충이니 지루해도 읽어주세용...다 도움이 되는 말만 골라서 하겠습니다 ㅋㅋㅋㅋ) 문제를 한번 보겠습니다. 돈이 필요하고...포렌식을 잘하니까 포렌식 회사에 취직해야지 ㅎㅎㅎ 그런데 어디로 가야할까?? 라는 문제네용!? 그럼 문제를 보면 느낄 수 있는게 회사를 찾는거니까 회사는 COMPANY입니다. 플래그 값에 COMPANY라는 단어가 들어간다는 추측은 할 수 있습니다. 이제 주어진 파일인 FINDAJOB.zip을 다운 받아보겠습니다. zip파일이네요?? 그럼 압축을 풀어..

이번 시간에는 N0Named CTF사이트에 있는 문제 MagicMAGE에 대해서 Write Up을 작성할겁니다. Write Up은 풀이(설명)라고 생각하면 됩니다. 일단 포렌식 CTF는 보통 프리웨어인 hxd에디터를 무조건 사용한다고 봐도 무방합니다. 왜냐하면 우리는 hex값을 보고 파일마다 가지고 있는 고유 시그니처를 통해서 문제를 풀어야하는 경우가 많이 있기 때문입니다. 그럼 바로 문제를 보도록 하겠습니다. 주어진 문제는 이것입니다. 제목이 MagiclMAGE이고 점수는 5점을 준다는 뜻입니다. 그리고 mandu-png 파일이 하나 주어지는데 그럼 저 png파일로 가지고 Flag값을 찾으면 될거라고 생각할 수 있습니다. 그럼 파일을 다운 받아보겠습니다. 다운을 받으면 이렇게 나옵니다. 그럼 png파일..