비전공자의 포렌식일기

이번 시간에는 Infect 문제를 풀어보겠습니다. 먼저 문제를 보겠습니다. 악성코드에 감염된 PC이다. 악성프로그램을 찾아 파일명과 실행시각을 알아내라!!! KST기준으로 설정하라는거니까 UTC + 9를 하면되겠죠 ㅎㅎ 주어진 파일을 다운받아 봅시다. ad1이라는 확장자명을 가지고 있네요?? ad1 파일은 이미징 도구를 통해서 분석을 해야 하는겁니다. 주로 알려진 이미징 도구는 FTK Imager인데 설치 방법은 따로 설명하지 않겠습니다. 그럼 FTK Imager를 이용해서 분석을 해보겠습니다. 도구를 이용해서 infect.ad1 파일을 불러오면 이런 화면이 나옵니다. 보통 로그 기록을 확인해야 하지만 해당 폴더에는 로그 기록이 있지 않았습니다. 왜냐하면 (/root/$Logfile/$MFT/$Exten..

이번 시간에는 N0Named CTF 워게임 사이트에 있는 Forensic Season1 A에 있는 문제 중 길에서 주어온 만두를 풀어보겠습니다. 일단 문제를 봅시다. zip파일이 하나 주어지는데요, 다운 받아봅시다. 다운을 받았으면 압축을 바로 풀어봅시다. 압축 파일안에 png파일과 readme.txt 파일이 들어있네요?? 일단 텍스트 파일인 readme.txt파일을 열어 봅시다. 엥..? 아까 우리가 다운을 받았던 문제와 똑같은 텍스트가 있으니 불필요한 파일인걸 알 수 있습니다. 그럼 사진을 열어보겠습니다. 왠 오뚜기 같이 생긴 사진이 있네요..? 근데 flag값이 존재하지 않으니 바로 hxd에디터로 열어보겠습니다. 확장자가 png파일이였으니까 헤더 시그니처와 푸터 시그니처를 한번 살펴 봅시다. png..

안녕하세요. 이번 시간에는 Forensic Season 1A 카테고리에 입사테스트[1]을 해보겠습니다. 먼저 문제를 보겠습니다. 이전 문제에 풀었던 회사에서 이런 문제를 냈나봐요 ㅎㅎ 그럼 바로 풀어드려야죠 주어진 파일을 다운 받아봅시다. zip파일로 되어있네요 그럼 압축을 풀어보겠습니다. 오잉...? 왠 압축 파일안에 F14g.txt파일을 제외한 모든 파일 확장자 뒤에 보시면 *이라고 있습니다. *이 적혀 있다는건 파일이 암호화 되어있다는 것입니다. 즉 우리는 비밀번호가 걸려있는 파일의 패스워드를 찾아서 풀어야 한다는 의미입니다. 이때 우리는 무차별 대입이라는 brute-force 기법을 활용할것 입니다. Brute-force란? 무차별 대입 공격이라고 불리며 특정한 암호를 풀기 위해 가능한 모든 값을..

안녕하세요!!! 저번 시간에는 hxd에디터로 PNG파일의 고유 헤더 시그니처인 89 50 4E 47 0D 0A 1A 0A로만 바꿔주면 바로 flag값이 나왔습니다. 이번에는 50점을 주는 문제인 회사 찾기를 풀어 보겠습니다. (오늘도 설명충이니 지루해도 읽어주세용...다 도움이 되는 말만 골라서 하겠습니다 ㅋㅋㅋㅋ) 문제를 한번 보겠습니다. 돈이 필요하고...포렌식을 잘하니까 포렌식 회사에 취직해야지 ㅎㅎㅎ 그런데 어디로 가야할까?? 라는 문제네용!? 그럼 문제를 보면 느낄 수 있는게 회사를 찾는거니까 회사는 COMPANY입니다. 플래그 값에 COMPANY라는 단어가 들어간다는 추측은 할 수 있습니다. 이제 주어진 파일인 FINDAJOB.zip을 다운 받아보겠습니다. zip파일이네요?? 그럼 압축을 풀어..

이번 시간에는 N0Named CTF사이트에 있는 문제 MagicMAGE에 대해서 Write Up을 작성할겁니다. Write Up은 풀이(설명)라고 생각하면 됩니다. 일단 포렌식 CTF는 보통 프리웨어인 hxd에디터를 무조건 사용한다고 봐도 무방합니다. 왜냐하면 우리는 hex값을 보고 파일마다 가지고 있는 고유 시그니처를 통해서 문제를 풀어야하는 경우가 많이 있기 때문입니다. 그럼 바로 문제를 보도록 하겠습니다. 주어진 문제는 이것입니다. 제목이 MagiclMAGE이고 점수는 5점을 준다는 뜻입니다. 그리고 mandu-png 파일이 하나 주어지는데 그럼 저 png파일로 가지고 Flag값을 찾으면 될거라고 생각할 수 있습니다. 그럼 파일을 다운 받아보겠습니다. 다운을 받으면 이렇게 나옵니다. 그럼 png파일..

진짜 이번주는 너무 바쁘다보니 공부할 시간이 너무 없었습니다. 그래도 기간을 하루 연장시켜 주셔서 감사합니다. 6주차 챕터 미션입니다. 그럼 시작 해보겠습니다. 모듈 | 함수나 변수 또는 클래스를 모아 놓은 파일 | 종류로는 표준 모듈과 외부 모듈이 존재 - 표준 모듈은 파이썬에 기본적으로 내장되어 있는 모듈 - 외부 모듈은 다른 개발자들이 특수한 목적으로 작성한 모듈 모듈의 기본 구문은 다음과 같습니다. import 모듈 이름 # 파이썬 코드를 작성할 때 제일 처음에 작성합니다. 일단 파이썬에 기본적으로 내장되어 있는 math 모듈에 대해 배워보겠습니다. math 모듈 math모듈은 말 그대로 수학(math)이랑 관련된 기능을 가지고 있습니다. 기본 구문을 보면 이렇게 되겠죠 import math 이렇..

벌써 5주차가 되어버렸네요!! 2주밖에 안남았는데...왜 실력이 안느는거같죠?? ㅎㅎㅎ 바로 5주차 해보겠습니다. 5주차 미션은 다음과 같습니다. 우리는 이때까지 이러한 오류들을 프로그래밍을 하면서 자주 접했습니다. SyntaxError, IndexError ... 등등 그때마다 드는 생각은 왜...또 오류가 떴지?? 라는 생각을 하게됩니다. 하지만 오류를 수정하기에는 우리가 어려움을 매번 느꼈죠!! 하지만 이제 오류에 대한 종류를 배우면 아...여기서 오류가 발생한거구나 라는걸 쉽게 찾아낼 수 있을겁니다. 오류의 종류 프로그래밍을 하면서 볼 수 있는 오류는 두 가지가 있습니다. | 프로그램이 실행하기 전에 발생할 수 있는 오류 (구문 오류) | 프로그램이 실행하고 나서 발생할 수 있는 오류 (예외 , ..

안녕하세요 이제 반을 지나서 4주차로 들어섰는데 일이 너무 많다보니 늦게 작성하게 되버렸네요 ㅎㅎ... 바로 시작해보겠습니다 이번에 배우게 될 부분은 바로 이 부분입니다. 책으로 챕터5 부분을 공부하고 p223에 있는 문제를 풀고 인증샷을하고 매개변수, 기본 매개변수, 가변 매개변수에 대해 정리하라 입니다. 바로 가볼게용! 함수(function) 함수는 쉽게 설명하자면 작은 프로그램입니다. 우리가 사용해왔던 len()함수, sizeof()함수, print(), input()전부다 함수의 일종입니다. 그럼 정의 되어있는 함수를 쓰면되지 왜 배우냐구요?? 정의되어 있는 함수는 개발자가 되려면 필요한 함수이지만 우리가 직접 그 함수들을 사용하고 하나의 작은 프로그램을 만드는것이 코드를 봤을 때도 한 눈에 들어..

벌써 혼공파 6주중 반이 왔네요 ㅎㅎㅎ 그럼 바로 본론부터 시작하겠습니다. 이번에 포스팅할 것은 바로 이 부분입니다. 기본미션은 리스트, 딕셔너리, 범위 자료형에 대해 이해한 내용을 포스팅하고 선택미션은 157p에 1번 문제의 답을 쓰고 인증샷 하는것입니다. 바로 시작할게요! 리스트 리스트는 여러가지 자료를 저장할 수 있는 공간이라고 생각하시면 됩니다. 리스트는 앞에서 배웠던 숫자나 문자, 수식들이 개별적인(단독적인) 자료였다면 이러한 자료들이 모여서 한 공간에서 사용할 수 있는 해주는 특별한 자료형입니다. 쉽게 말해서 정수 10보다 작은 홀수를 생각하면 1, 3, 5, 7, 9가 존재합니다. 이러한 집합을 어떻게 하면 쉽게 표현할 수 있을까 생각이 들 수 있는데 파이썬에는 이러한 불편함을 해소할 수 있..

저번 시간에 디지털 데이터 구성단위에 대해서 배웠습니다. 오늘은 디지털 데이터의 수 체계인 이진법, 십진법, 팔진법, 십육진법, 바이트가 저장되는 순서에 따른 빅엔디안, 리틀엔디안, 고정소수점, 부동소수점에 대해서 배워보겠습니다. 이진법이란? 이진법은 디지털 데이터가 기본적으로 띄고있는 0과 1로 2가지만 표현하는 수 입니다. 일상생활에서 사용하는 수 체계인 십진법과는 다르지만, 디지털 포렌식을 공부하기 위해서는 꼭 알아야 할 수 체계입니다. 이진법은 변환 규칙을 이용하여 다른 수 체계로도 변환이 가능합니다. 32비트의 체계로 생각을 해봅시다. 그럼 총 4byte = 32 bit = 2³² 입니다. 그림을 보고 설명을 해드리겠습니다. 총 32개의 칸이 존재하는게 보이시나요?? 이 칸마다 0 또는 1이 들..