비전공자의 포렌식일기

이번 시간에는 H4CKING GAME 워게임 사이트에 있는 포렌식 문제 중 마지막 문제입니다. 문제를 보면 Can you turn off the lights, loot at my ram이라고 적혀있네요.. 해석을 해보면 전원이 들어와있지 않은 내 메모리 카드를 볼 수 있니?? 라고 할 수 있겠네요... 결국엔 문제에 메모리 포렌식 기술을 활용하라고 되어있는거 같은데 파일을 다운 받아보겠습니다. 문제 파일은 mp4확장자여서 실행을 시켰더니 에러가 발생했습니다. 그럼 hxd에디터로 열어보겠습니다. 허허...다 비어있군요...근데 파일 용량이 2기가인게 너무 의심스러워서 계속 내리다보니 데이터가 있는것을 확인할 수 있었는데요, 그러다가 시스템 관련된 데이터를 발견할 수 있었습니다. 이것을 보면 문제에 나와있는..

이번 시간에는 CODE라는 문제를 풀어보겠습니다. 문제를 보면 Is it really a barcode? 라는 문구를 보면 이 사진에 있는 바코드는 진짜 바코드가 아니다라고 해석할 수 있습니다. 그럼 바로 주어진 파일을 다운 받아서 실행을 시켜봅시다. 이렇게 보면 먼가 일정한 규칙으로 나뉘어져 있는걸 확인할 수 있습니다. 규칙대로 나뉘어 보겠습니다. 빨간색 선을 따라 일정한 규칙으로 나뉘는것을 볼 수 있습니다. 그럼 저게 플래그 값이라고 생각을 했을 때, 이런식으로 번호를 매길 수 있습니다. 그럼 플래그형식이 H4CGM이니까 1번은 H, 2번은 4, 3번은 C입니다. 그렇게 18번까지 치환을 하게 되면 플래그 값이 나오는것이죠!! 일단 같이 1번 2번만 구해 보겠습니다. 검은줄과 흰색줄을 각각1비트라고 ..

이번 시간에는 다음 문제인 LineFeed를 풀어보겠습니다. 문제에는 Something is broken이라고 적혀있습니다. 해석하면 뭔가 문제가 있는? 이라고 해석 할 수 있습니다. 주어진 파일을 다운받고 실행시켜 보겠습니다. 그냥 색상이 다른 점선으로만 칠해져있네요..? 사진이 png인것을 보아 왠지 png파일을 이루는 chunk 부분에서 이상한 값으로 덮어 씌워져 있을 거라 생각을 해서 png파일을 분석해주는 툴을 써서 열어보겠습니다. 아니나 다를까 IHDR chunk 부분에서 에러가 있다고 뜨네요!! 그전에 PNG구조에 대해 간략하게 설명을 하자면 png의 파일 구조에는 중요 청크와 보조 청크로 나뉩니다. 그 중 중요 청크만 보자면 IHDR, IDAT, PLET, IEND가 있습니다. png파일을..