비전공자의 포렌식일기

문제를 보겠습니다. 문제를 보면 내부직원이 인터넷을 통해서 내부문서를 외부로 업로드를 하였다는 것으로 보아. P2P같은 사이트에 업로드를 했다는 것을 알 수 있습니다. 주어진 파일을 가지고 문제를 풀어 보도록 하겠습니다. 파일을 다음과 같이 FTK Imager로 열게 되면 다음과 같이 root경로에 다양한 폴더들이 존재하는 것으로 보인다. 각 폴더들은 하나의 app을 가지고 있었고, 이것으로 보아 그 app을 설치할 때 받았던 고유번호인것으로 추정이 됩니다. 각 app들은 다음과 같습니다. Weather.app, CGV2.app, CNN-iPhone.app, Podcasts.app, Dropbox.app, WebViewService.app, HousekeepingLog.app, MyPainting.app..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 보니 Gregory에게 무슨 일이 일어났는지 찾는것인데요, 주어진 파일은 pcap파일이 아닌 zip파일입니다. 파일을 다운 받아서 압축을 풀어봅시다. 압축파일 안에는 Dump폴더와 log텍스트 파일이 존재하는데요, 로그 텍스트 파일을 먼저 실행해보겠습니다. 딱히 수상한 부분은 보이지 않지만 한가지 의심이 가는것은 형광색으로 칠한 부분인데요. 이 부분은 dump_android.cpp compiled라는건 운영체제가 안드로이드인 휴대폰을 덤프를 떴다는 뜻입니다. 덤프란? 특정 시점에 작업 중이던 메모리 상태를 기록한 것입니다. 그래서 로그 파일과 덤프 폴더가 존재했던것입니다. 그럼 덤프 파일을 조사해봐야 하..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 이번 문제를 보면 Betty동료가 Gregory에게 제공한 비밀번호를 찾는것입니다. 비밀번호를 줬다는것은 메세지를 받았다는 추측할 수 있습니다. 그럼 Network Miner를 통해서 pcap파일을 보겠습니다. 열어보니 아니나 다를까 Hey Greg으로 시작하는 메세지가 와있습니다. 그래서 더 스크롤을 내려보니 스크립트 코드가 있는걸 확인할 수 있는데 코드를 보면 kml파일로 짜여진 스크립트 코드인걸 알 수 있습니다. kml파일을 구글에 검색해보니 Keyhole Markup Language의 약자로써 구글 어스, 구글 지도 등 브라우저에서 지리 데이터를 표시하는 데 사용되는 파일 형식이라고 적혀있습니다. 그럼 ..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Gregory는 Betty를 만나지 못할 경우 어떻게 죽는지를 찾는 문제입니다. 주어진 문제 파일인 round3.pcap파일을 다운 받아서 실행을 시켜봅시다. pcap파일을 실행 시켜서 내리다 보니 프로토콜중에 mp4라고 되어 있는 수상한 패킷이 하나 보입니다. TCP Stream으로 실행을 시켜 보겠습니다. 경로 [Analyze] - [Follow] - [TCP Stream] 해당 프로토콜의 TCP Stream를 보면 mms-message를 받았고, 받은 파일은 VID_20130705_145557.mp4입니다. 즉 mms는 Multimedia Messaging Service의 약자로써 멀티미디..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Betty와 Gregory가 만나는 장소를 찾으면됩니다. 주어진 문제 파일인 round2.pcap파일을 다운 받아서 실행을 시킨 다음에 문제에 나와있는대로 Betty와 Gregory가 서로 대화를 주고 받았을거 같으니 IRC프로토콜을 먼저 확인을 해보겠습니다. 경로 : [irc검색] - [오른쪽 마우스 클릭] - [Follow] - [TCP Strem] * IRC 프로토콜 Internet Relay Chat의 약자로 실시간 채팅 프로토콜입니다. 여러 사용자가 모여 대화를 나눌 수 있고, 또한 개인간의 대화 기능도 지원합니다. 또한 IRC 클라이언트와 직접 연결을 설정하는데 사용되는 하위 프로토콜..

이번 시간에 포스팅할 문제는 이전 시간과 이어지는 내용입니다. 이전 시간에 배웠던 내용을 되짚어 보면, 우리는 사용자의 계정을 확인 하기 위해 "Root\Users" 경로를 따라가 사용자의 계정이 어떤게 있는지 확인을 하고 삭제된 계정을 확인하기 위해서 이벤트 뷰어를 통해 analysis를 해야합니다. 계정이 삭제된 것을 파악하기 위해서는 이벤트 로그 파일중 Security를 확인 해야하며 경로는 "Root\Windows\System32\winevt\Logs" 에서 찾을 수 있습니다. 이번 시간에 풀어야 할 문제를 한 번 보겠습니다. 문제를 읽어 보면 어떤 방법으로 문제를 풀어야 할 지 추측이 가능할것입니다. 왜냐하면 하드 어딘가에 암호화(encryption)를 해두어 숨겨뒀다. 라는 문구가 보이니까 우..

이전 시간에 배웠던 것을 잠깐 되짚어 보자면 우리는 사용자의 흔적을 찾기 위해 로그 기록을 분석합니다. 로그는 컴퓨터 사용자가 어떤 행위를 했는지에 대한 정보가 담겨있는 곳이라고 했습니다. 그리고 "파일을 입수한 경로" 라는 말은 파일을 웹 브라우저에서 다운을 받든, 메일을 통해서 받든 인터넷을 통해서 얻어 온 파일이라는 뜻이고, 우리는 사용자가 웹 브라우저를 이용했을 때 분석하는 History분석 파일이 필요했습니다. 그래서 이 경로를 따라서 파일을 찾습니다. "root/Users/username/AppData/Local/Google/Chrome/User Data/Defalut/History" 찾고 나서 분석을 한 다음 파일 명이 변경되었다는 말이 있었으니까 파일에 대한 모든 정보를 저장하는 $Logf..

저번 시간에 유출된 자료 거래 사건 [1]에 대해서 풀어 보았습니다. [1]에서는 USB연결 로그를 확인하기 위해 윈도우에서는 "HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note" 에 기록이 남는다는걸 공부했고, 해당 하이브 파일은 "Windows\system32\config" 에 SOFTWARE라는 명칭으로 존재한다고 했습니다. 그리고 레지스트리 분석기를 통해서 Devices Note로 가면 몇 개가 연결되어있는지 알 수 있고, 장치 클래스 ID로 확인이 가능했습니다. 이번 시간에는 유출된 자료 거래 사건 [2]에 대해서 풀이를 해보겠습니다. 문제를 먼저 확인해보겠습니다. 저번 시간에서 USB의 흔적을 찾았으나 우리가 찾은 USB는 이미 산산..

안녕하세요!!! 저번 시간에는 hxd에디터로 PNG파일의 고유 헤더 시그니처인 89 50 4E 47 0D 0A 1A 0A로만 바꿔주면 바로 flag값이 나왔습니다. 이번에는 50점을 주는 문제인 회사 찾기를 풀어 보겠습니다. (오늘도 설명충이니 지루해도 읽어주세용...다 도움이 되는 말만 골라서 하겠습니다 ㅋㅋㅋㅋ) 문제를 한번 보겠습니다. 돈이 필요하고...포렌식을 잘하니까 포렌식 회사에 취직해야지 ㅎㅎㅎ 그런데 어디로 가야할까?? 라는 문제네용!? 그럼 문제를 보면 느낄 수 있는게 회사를 찾는거니까 회사는 COMPANY입니다. 플래그 값에 COMPANY라는 단어가 들어간다는 추측은 할 수 있습니다. 이제 주어진 파일인 FINDAJOB.zip을 다운 받아보겠습니다. zip파일이네요?? 그럼 압축을 풀어..

이번 시간에는 N0Named CTF사이트에 있는 문제 MagicMAGE에 대해서 Write Up을 작성할겁니다. Write Up은 풀이(설명)라고 생각하면 됩니다. 일단 포렌식 CTF는 보통 프리웨어인 hxd에디터를 무조건 사용한다고 봐도 무방합니다. 왜냐하면 우리는 hex값을 보고 파일마다 가지고 있는 고유 시그니처를 통해서 문제를 풀어야하는 경우가 많이 있기 때문입니다. 그럼 바로 문제를 보도록 하겠습니다. 주어진 문제는 이것입니다. 제목이 MagiclMAGE이고 점수는 5점을 준다는 뜻입니다. 그리고 mandu-png 파일이 하나 주어지는데 그럼 저 png파일로 가지고 Flag값을 찾으면 될거라고 생각할 수 있습니다. 그럼 파일을 다운 받아보겠습니다. 다운을 받으면 이렇게 나옵니다. 그럼 png파일..