비전공자의 포렌식일기

저번 시간에 유출된 자료 거래 사건 [1]에 대해서 풀어 보았습니다. [1]에서는 USB연결 로그를 확인하기 위해 윈도우에서는 "HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note" 에 기록이 남는다는걸 공부했고, 해당 하이브 파일은 "Windows\system32\config" 에 SOFTWARE라는 명칭으로 존재한다고 했습니다. 그리고 레지스트리 분석기를 통해서 Devices Note로 가면 몇 개가 연결되어있는지 알 수 있고, 장치 클래스 ID로 확인이 가능했습니다. 이번 시간에는 유출된 자료 거래 사건 [2]에 대해서 풀이를 해보겠습니다. 문제를 먼저 확인해보겠습니다. 저번 시간에서 USB의 흔적을 찾았으나 우리가 찾은 USB는 이미 산산..

이번 시간에는 Forensic Season 1B에 있는 유출된 자료 거래 사건[1]에 대해서 풀이를 진행하겠습니다. 문제를 먼저 보도록 하겠습니다. 읽어보면 회사에서 내부 자료가 유출을 당했다. 그리고 경찰은 유출된 자료가 판매되고 있다는 신고를 받고, 판매자와 구매자를 잡으려고 했으나 증거가 부족하다. 그래서 구매자의 pc를 이미지 덤프를 하고 우리 회사에 의뢰를 맡겼으니 해결해주어야 한다. 간단하게 말해서 구매자의 집에 수상한 usb가 많이 발견되었다는 건 usb로 내부 자료를 유출했다고 의심이 든다. 그래서 연결된 usb를 찾아보자. 일단은 구글 드라이브에 저장되어 있는 문제 파일을 다운로드하도록 하자. 이렇게 생긴 압축파일을 하나 받을 것이다. 압축을 풀면 vmdk라는 확장자를 가진 가상 머신이 ..

안녕하세요. 이번 시간에는 Forensic Season 1A 카테고리에 입사테스트[1]을 해보겠습니다. 먼저 문제를 보겠습니다. 이전 문제에 풀었던 회사에서 이런 문제를 냈나봐요 ㅎㅎ 그럼 바로 풀어드려야죠 주어진 파일을 다운 받아봅시다. zip파일로 되어있네요 그럼 압축을 풀어보겠습니다. 오잉...? 왠 압축 파일안에 F14g.txt파일을 제외한 모든 파일 확장자 뒤에 보시면 *이라고 있습니다. *이 적혀 있다는건 파일이 암호화 되어있다는 것입니다. 즉 우리는 비밀번호가 걸려있는 파일의 패스워드를 찾아서 풀어야 한다는 의미입니다. 이때 우리는 무차별 대입이라는 brute-force 기법을 활용할것 입니다. Brute-force란? 무차별 대입 공격이라고 불리며 특정한 암호를 풀기 위해 가능한 모든 값을..