비전공자의 포렌식일기

이번 시간에는 CTF-D에 Disk 카테고리 문제인 "X 회사의 재정 정보를 훔치기" 를 풀겠습니다. 문제를 보겠습니다. 주어진 파일을 다운 받고 hxd에디터로 열어 보겠습니다. 7z로 된것을 보아 7-zip으로 압축된 파일입니다. 그래서 7-zip으로 압축을 풀었습니다. (하지만 hxd로 봐도 좋지만 바로 이해하기는 힘들기 때문에, 리눅스에서 file [파일명] 하시는게 제일 편합니다!!) 압축을 풀면 다음과 같이 Users파일이 나옵니다. 들어가시면 다양한 폴더가 존재하는데 한번 보겠습니다. All Users, Default, Default User, proneer, Public이 존재하는데, 문제를 보면 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다고 하였다. 그럼 EXCEL파일이니..

CTF-D 사이트에 있는 네트워크 카테고리에 우리는 적군에 대한 첩보를 풀어보겠습니다. 문제를 한번 보겠습니다.주어진 첨부파일인 exfil.tar를 다운 받아 압축을 풀어줍니다. ( 리눅스 환경에서 tar파일을 풀려면 tar xvf exfil.tar를 입력하시면 됩니다. ) 압축을 풀면 dump.pcap파일과 server.py가 들어 있는것을 볼 수 있습니다. 먼저 와이어샤크를 통해 dump.pcap파일을 보겠습니다.dump.pcap을 실행하면 다음과 같은 DNS 패킷을 볼 수 있고, 패킷을 좀 더 읽어보면 DNS패킷과 데이터 값처럼 보이는 것들을 확인할 수 있었습니다.노란색 형광펜으로 되어 있는것을 보겠습니다. 첫번째 패킷은 클라이언트가 DNS를 요청하는 패킷으로 (DNS Query Packet) 두번..