비전공자의 포렌식일기

이번 시간에는 CODE라는 문제를 풀어보겠습니다. 문제를 보면 Is it really a barcode? 라는 문구를 보면 이 사진에 있는 바코드는 진짜 바코드가 아니다라고 해석할 수 있습니다. 그럼 바로 주어진 파일을 다운 받아서 실행을 시켜봅시다. 이렇게 보면 먼가 일정한 규칙으로 나뉘어져 있는걸 확인할 수 있습니다. 규칙대로 나뉘어 보겠습니다. 빨간색 선을 따라 일정한 규칙으로 나뉘는것을 볼 수 있습니다. 그럼 저게 플래그 값이라고 생각을 했을 때, 이런식으로 번호를 매길 수 있습니다. 그럼 플래그형식이 H4CGM이니까 1번은 H, 2번은 4, 3번은 C입니다. 그렇게 18번까지 치환을 하게 되면 플래그 값이 나오는것이죠!! 일단 같이 1번 2번만 구해 보겠습니다. 검은줄과 흰색줄을 각각1비트라고 ..

이번 시간에는 다음 문제인 cat을 풀어보겠습니다. 문제를 보면 cat is very cute...? 고양이는 매우 귀엽다...라는 말만 하고 힌트는 없네요 ㅋㅋㅋㅋㅋ 주어진 파일을 다운 받아서 실행을 시켜 봅시다. 음...자고있는 모습이 참 귀엽네요!!! 근데 이거만 봐서는 알 수 없으니 hxd에디터로 열어보겠습니다. 처음에는 헤더 시그니처와 푸터 시그니처가 다를거라고 생각해서 열어봤더니 딱히 이상이 없었습니다. 그래서 jpg파일의 메타데이터를 확인하기 위해서 속성에 들어가봤습니다. 속성에서 GPS가 잡히는것을 보아하니 위,경도 문제일까 싶어서 구글맵에서 직접 입력을 해봤습니다. 근데...뭐 플래그값은 무슨 아무것도 안나와있네요...그래서 다시 hxd에디터로 돌아가서 보통 젤 마지막 오프셋에 스테가노면..

이번 시간에는 다음 문제인 LineFeed를 풀어보겠습니다. 문제에는 Something is broken이라고 적혀있습니다. 해석하면 뭔가 문제가 있는? 이라고 해석 할 수 있습니다. 주어진 파일을 다운받고 실행시켜 보겠습니다. 그냥 색상이 다른 점선으로만 칠해져있네요..? 사진이 png인것을 보아 왠지 png파일을 이루는 chunk 부분에서 이상한 값으로 덮어 씌워져 있을 거라 생각을 해서 png파일을 분석해주는 툴을 써서 열어보겠습니다. 아니나 다를까 IHDR chunk 부분에서 에러가 있다고 뜨네요!! 그전에 PNG구조에 대해 간략하게 설명을 하자면 png의 파일 구조에는 중요 청크와 보조 청크로 나뉩니다. 그 중 중요 청크만 보자면 IHDR, IDAT, PLET, IEND가 있습니다. png파일을..

이번 시간에는 다음 문제인 Easy를 풀어보겠습니다. 문제에는 그냥 Easy라는것 밖에 없으니 쉽다는거겠죠??? 그럼 주어진 파일을 다운받고 실행을 시켜 봅시다. 흠...왠지 전에 문제랑 비슷할거 같아서 스테가노그래피 툴을 사용해도 되지만, 준비가 안된 관계로 사진 편집 프로그램으로 조절 해줬습니다. QR코드가 하나 뜨네요!! 그럼 이걸 QR Scanner로 열게되면 답이 나옵니다. 저는 핸드폰 QR Scanner를 사용한 관계로 나머지는 직접 하시길 바랍니다. 바코드 & QR코드 & URL등을 읽어주는 사이트인 https://www.onlinebarcodereader.com/로 가시면 구할 수 있습니다.

최근에 화이트해킹팀 H4CTEAM에서 새로 신설한 워게임 사이트가 열렸습니다. 소식을 듣고 바로 제가 공부하는 분야인 forensic 문제를 풀어보았습니다. 이번 블로그부터 순차적으로 롸업을 작성할 예정이니 설명을 잘 못하더라도 이해를 좀 해주시길 바랍니다. 문제를 보면 The important parts are painted입니다. 해석을 하면 중요한 부분에 페인트칠 되어있다라고 보면됩니다. 주어진 문제인 paint.png를 다운받아 보겠습니다. 플래그는 H4CGM{}형식인데 중괄호 안에 내용을 아예 가려서 안보입니다. 그럼 저 가려진 부분을 없애주면 답이 나오겠네요. 각자 들고 계신 사진편집 프로그램으로 검은 부분을 지워줍시다. 그럼 플래그 값을 찾을 수 있습니다.

보호되어 있는 글입니다.

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 보게 되면 악성 페이로드의 용량을 물어봅니다. 그럼 주어진 파일 round6.pcap을 와이어 샤크로 열어 보겠습니다. 와이어샤크로 TCP Stream을 열어서 분석을 하다가 뭔가 의심스러운 부분이 존재합니다. 그 부분은 Host : paimia.com에게서 http파일을 하나 받았다는 내용이니까 http를 분석해봅시다. 경로는 [File] - [Export Object] - [HTTP] 열어보니 paimia.com에서 파일을 두개 받았는데 밑에꺼는 favicon.ico라서 아이콘을 뜻하는것이라 패스하고 위에꺼는 html로 작성된 파일을 하나 받았습니다. 혹시나 더 있을까 하고 NetworkMiner를 ..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 보니 Gregory에게 무슨 일이 일어났는지 찾는것인데요, 주어진 파일은 pcap파일이 아닌 zip파일입니다. 파일을 다운 받아서 압축을 풀어봅시다. 압축파일 안에는 Dump폴더와 log텍스트 파일이 존재하는데요, 로그 텍스트 파일을 먼저 실행해보겠습니다. 딱히 수상한 부분은 보이지 않지만 한가지 의심이 가는것은 형광색으로 칠한 부분인데요. 이 부분은 dump_android.cpp compiled라는건 운영체제가 안드로이드인 휴대폰을 덤프를 떴다는 뜻입니다. 덤프란? 특정 시점에 작업 중이던 메모리 상태를 기록한 것입니다. 그래서 로그 파일과 덤프 폴더가 존재했던것입니다. 그럼 덤프 파일을 조사해봐야 하..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 이번 문제를 보면 Betty동료가 Gregory에게 제공한 비밀번호를 찾는것입니다. 비밀번호를 줬다는것은 메세지를 받았다는 추측할 수 있습니다. 그럼 Network Miner를 통해서 pcap파일을 보겠습니다. 열어보니 아니나 다를까 Hey Greg으로 시작하는 메세지가 와있습니다. 그래서 더 스크롤을 내려보니 스크립트 코드가 있는걸 확인할 수 있는데 코드를 보면 kml파일로 짜여진 스크립트 코드인걸 알 수 있습니다. kml파일을 구글에 검색해보니 Keyhole Markup Language의 약자로써 구글 어스, 구글 지도 등 브라우저에서 지리 데이터를 표시하는 데 사용되는 파일 형식이라고 적혀있습니다. 그럼 ..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Gregory는 Betty를 만나지 못할 경우 어떻게 죽는지를 찾는 문제입니다. 주어진 문제 파일인 round3.pcap파일을 다운 받아서 실행을 시켜봅시다. pcap파일을 실행 시켜서 내리다 보니 프로토콜중에 mp4라고 되어 있는 수상한 패킷이 하나 보입니다. TCP Stream으로 실행을 시켜 보겠습니다. 경로 [Analyze] - [Follow] - [TCP Stream] 해당 프로토콜의 TCP Stream를 보면 mms-message를 받았고, 받은 파일은 VID_20130705_145557.mp4입니다. 즉 mms는 Multimedia Messaging Service의 약자로써 멀티미디..