비전공자의 포렌식일기

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Betty와 Gregory가 만나는 장소를 찾으면됩니다. 주어진 문제 파일인 round2.pcap파일을 다운 받아서 실행을 시킨 다음에 문제에 나와있는대로 Betty와 Gregory가 서로 대화를 주고 받았을거 같으니 IRC프로토콜을 먼저 확인을 해보겠습니다. 경로 : [irc검색] - [오른쪽 마우스 클릭] - [Follow] - [TCP Strem] * IRC 프로토콜 Internet Relay Chat의 약자로 실시간 채팅 프로토콜입니다. 여러 사용자가 모여 대화를 나눌 수 있고, 또한 개인간의 대화 기능도 지원합니다. 또한 IRC 클라이언트와 직접 연결을 설정하는데 사용되는 하위 프로토콜..

이번 시간에는 CTF-d 워게임 사이트에서 네트워크 카테고리에 문제를 풀어보도록 하겠습니다. 문제를 읽어 보겠습니다. 문제를 읽어 봤을때 풀어야 하는 문제는 회의가 예정된 요일이 언제인지를 찾아야 하는데, 언제 진행 되었는지 알 수 있는 데이터가 어떤 형식으로 작성되어 있는지 알 수가 없기 때문에 WhireShark분석 도구를 통해서 패킷 용량, 프로토콜 등을 확인하면서 찾아야 합니다. 주어진 문제파일인 round1.pcap파일은 pcap(Packet Capture)의 약자로 패킷을 캡처한 파일이라고 생각하시면 됩니다. 그럼 바로 문제풀이를 해보겠습니다. 주어진 문제파일입니다. 이제 WhireShark로 열어 보겠습니다. 문제를 열었더니 패킷들이 많이 잡혀있습니다. 그중에서 실행을 했을 때, 가장 먼저 ..

이번 시간에 포스팅할 문제는 이전 시간과 이어지는 내용입니다. 이전 시간에 배웠던 내용을 되짚어 보면, 우리는 사용자의 계정을 확인 하기 위해 "Root\Users" 경로를 따라가 사용자의 계정이 어떤게 있는지 확인을 하고 삭제된 계정을 확인하기 위해서 이벤트 뷰어를 통해 analysis를 해야합니다. 계정이 삭제된 것을 파악하기 위해서는 이벤트 로그 파일중 Security를 확인 해야하며 경로는 "Root\Windows\System32\winevt\Logs" 에서 찾을 수 있습니다. 이번 시간에 풀어야 할 문제를 한 번 보겠습니다. 문제를 읽어 보면 어떤 방법으로 문제를 풀어야 할 지 추측이 가능할것입니다. 왜냐하면 하드 어딘가에 암호화(encryption)를 해두어 숨겨뒀다. 라는 문구가 보이니까 우..

이전 시간에 배웠던 것을 잠깐 되짚어 보자면 우리는 사용자의 흔적을 찾기 위해 로그 기록을 분석합니다. 로그는 컴퓨터 사용자가 어떤 행위를 했는지에 대한 정보가 담겨있는 곳이라고 했습니다. 그리고 "파일을 입수한 경로" 라는 말은 파일을 웹 브라우저에서 다운을 받든, 메일을 통해서 받든 인터넷을 통해서 얻어 온 파일이라는 뜻이고, 우리는 사용자가 웹 브라우저를 이용했을 때 분석하는 History분석 파일이 필요했습니다. 그래서 이 경로를 따라서 파일을 찾습니다. "root/Users/username/AppData/Local/Google/Chrome/User Data/Defalut/History" 찾고 나서 분석을 한 다음 파일 명이 변경되었다는 말이 있었으니까 파일에 대한 모든 정보를 저장하는 $Logf..

저번 시간에 유출된 자료 거래 사건 [1]에 대해서 풀어 보았습니다. [1]에서는 USB연결 로그를 확인하기 위해 윈도우에서는 "HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note" 에 기록이 남는다는걸 공부했고, 해당 하이브 파일은 "Windows\system32\config" 에 SOFTWARE라는 명칭으로 존재한다고 했습니다. 그리고 레지스트리 분석기를 통해서 Devices Note로 가면 몇 개가 연결되어있는지 알 수 있고, 장치 클래스 ID로 확인이 가능했습니다. 이번 시간에는 유출된 자료 거래 사건 [2]에 대해서 풀이를 해보겠습니다. 문제를 먼저 확인해보겠습니다. 저번 시간에서 USB의 흔적을 찾았으나 우리가 찾은 USB는 이미 산산..

이번 시간에는 Forensic Season 1B에 있는 유출된 자료 거래 사건[1]에 대해서 풀이를 진행하겠습니다. 문제를 먼저 보도록 하겠습니다. 읽어보면 회사에서 내부 자료가 유출을 당했다. 그리고 경찰은 유출된 자료가 판매되고 있다는 신고를 받고, 판매자와 구매자를 잡으려고 했으나 증거가 부족하다. 그래서 구매자의 pc를 이미지 덤프를 하고 우리 회사에 의뢰를 맡겼으니 해결해주어야 한다. 간단하게 말해서 구매자의 집에 수상한 usb가 많이 발견되었다는 건 usb로 내부 자료를 유출했다고 의심이 든다. 그래서 연결된 usb를 찾아보자. 일단은 구글 드라이브에 저장되어 있는 문제 파일을 다운로드하도록 하자. 이렇게 생긴 압축파일을 하나 받을 것이다. 압축을 풀면 vmdk라는 확장자를 가진 가상 머신이 ..

저번 시간에는 level2 -> level3으로 가는 문제를 풀어봤습니다. 잠깐 저번 시간에 배운걸 되짚어본다면 쉘에서는 공백으로 파일을 만들면 공백마다 파일을 1개씩 인식을해서 1개의 파일이 4개의 파일로 인식이 된걸 봤습니다. 그래서 따옴표를 통해서 하나의 파일로 쉘에게 인식을 시켜주는 문제였습니다. 이번 시간에는 level3 -> level4로 가는 문제를 풀어보겠습니다. 문제를 보겠습니다. 해석을 하면 다음 레벨로 넘어가기 위해서는 필요한 패스워드는 hidden이라는 명칭의 파일안에 저장되어있다. hidden파일은 inhere 디렉터리 안에 있다. 즉, inhere 디렉터리 안에 hidden파일이 존재한다는 것입니다. 그럼 일단 저번 시간에 얻었던 패스워드로 로그인을 해보겠습니다. 로그인이 잘 되..

저번시간에 OverTheWire 리눅스 워게임 사이트에서 level2의 password를 얻었는데 얻은 password를 가지고 로그인을 해봅시다. 로그인 하셨으면 이런 화면이 뜰텐데 바로 ls 명령어를 가지고 현재 디렉터리에 무슨 파일이 있는지 확인해봅시다. 파일명이 spaces in this filename이라고 적혀있네요?? 그럼 우리가 배웠던 cat명령어를 가지고 출력을 해봅시다. 아니 뭐 장난질 하는것도 아니고 맨날 에러를... 읽어보면 공백을 기준으로 파일명을 읽어들이네요...! 쉽게 말해서 spaces라는 파일명 1개, in이라는 파일명 1개, this라는 파일명 1개, filename이라는 파일명 1개로 인식을 하고 OS에서 4개의 파일을 인식을 하네요...그럼 어떻게 해줘야 잘 출력이 될..

level1에서 cat명령어로 readme파일을 출력했을 때 나온 bandit1의 계정 패스워드로 로그인을 해봅시다. 정상적으로 로그인을 성공했습니다. 이제 level1에서 level2로 가기 위해 어떤 문제가 주어졌는지 확인해봅시다. 다음 레벨의 비밀번호는 홈 디렉토리에 있는 -라는 파일에 저장된다. 일단 level1에서 했던거 처럼 ls명령어를 통해서 어떤 파일이 있는지 찾아봅시다. -라는 파일이 존재하네요 뭔가 의미심장하게 특수문자로 되어있네요...허허 cat 명령어를 통해서 실행시켜봅시다. 왜 아무것도 출력이 안될까요..? ㅠㅠㅠ 그 이유는 -라는 문자는 명령어 인자로 받아들이기 때문입니다. 그럼 이 파일을 실행시키기 위해서 어떻게 해야할지 고민을 하던 찰나에 떠오르는게 파일의 경로라는게 생각이 ..

오늘부터는 Overthewire 사이트에 bandit이라는 리눅스 워게임을 해보겠습니다. 기본적인 리눅스 환경은 다 설치가 되어있다고 가정하고 설명하겠습니다. 먼저 문제를 한번 보도록 하겠습니다. SSH에 접속을하고 host는 bandit.labs.overthewire.org이고 port번호는 2220, username은 bandit0이고 password도 bandit0라고 하네요! 그럼 ssh에 접속을 하는 방법을 알아야 하는데 ssh에 대해서 먼저 소개하겠습니다. SSH ssh(Secure SHell)의 약자로 네트워크 상의 다른 컴퓨터에 로그인하거나 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일을 복사할 수 있도록 해주는 인터넷 프로토콜 입니다. 쉽게 말해서 ssh는 유닉스 시스템 셸에 원격..