foreaser 님의 블로그

침해사고 대응(IR) 파트는 총 5개의 문제가 있었으며1,2,5 번은 PC 이미지를 주고 분석하는 형식,3,4 번은 악성코드로 의심되는 파일을 주고 분석하는 형식이었다. 대회에서 제공한 파일을 다운로드 받으면 분할된 vmdk파일들이 존재한다. FTK imager로 "Windows 10 x64.vmdk" 메인 파일을 열어서 여러 포터블 도구들로 분석해도 되고 통합 포렌식도구(autopsy, axiom 등)를 이용해도 좋을 듯했다.나는 Magnet Axiom을 이용해 분석해보았다. (실제 대회 당시에 풀이한 내용보다 글 작성 시 재구성하며 추가된 내용이 있어 풀이가 조금 길다.) 제일 먼저 Axiom Process로 vmdk 파일을 Axiom에 불러오면 시나리오에 맞게 특정 파티션이 암호화 되어있음을..

오랜만에 CTF-D 사이트를 들어가서 문제를 훑어보던 중에 torrent파일이 주어지는 문제를 발견하였다.토렌트연구를 해본 나로서는 그냥 지나칠 수가 없었다. 토렌트를 연구하기 전에는 파일을 다운로드받고 HxD로 먼저 열어보았겠지만 연구하면서 Torrent메타파일은 Bencode 형식으로 저장되어있음을 알았기에 Bencode Editor로 열어본다. announce : 트래커 정보created by : .torrent 파일을 생성한 피어의 클라이언트 정보creation date : torrent 파일을 생성한 날짜(UNIXTIME) 그리고 토렌트에서는 파일을 피스(piece)단위로 전송하고 잘 전송되었는지의 여부를 SHA1 해시를 통해 검증한다. SHA1은 160비트(20바이트)의 고정길이로 출력하는 해..

dd 파일이 하나 주어진다. HxD로 파일을 열어보면0x00000000 오프셋 부터 0x00176FF0오프셋 까지 ZeroFill 되어있고바로 다음 오프셋 0x00177000부터 "FF D8" 로 시작하는 JPG의 시그니처가 보인다.아마 사진파일이 숨겨져있는 듯하니 WinHex로 카빙을 진행한다.  Tools -> Disk Tools -> File Recovery by Type 으로 이동한다.FF D8이 보였으니 JPG는 반드시 선택하고 그 다음으로 PNG나 BMP 파일 같이 사진파일 포맷을 선택하여 추가적으로 나올 수 있는 단서들에 대해 수집한다. 클러스터, 섹터, 바이트 중 어떤 단위로 서치할 것인지 선택하는 목록이 있는데 바이트레벨 서치가 가장 정확하게 찾을 수 있으므로 바이트레벨 서치를 선택한다...

디포전2급 실기와 비슷한 시나리오라서 쉽게 풀어볼 수 있을 것 같다.   파일을 다운로드 받으면 약 1GB용량의 이미징된 파일을 볼 수 있다. HxD로 해당 파일을 열어보았다.eX.MSDOS 라는 문자열을 보고 지금 보고있는 영역은FAT32파일시스템의 VBR영역임을 알 수 있다.  00000000 오프셋, 0B 0C 의 값을 보아 해당 매체는 한섹터가 512바이트로 구성되는 것을 알 수 있고그렇다면 VBR의 마지막 2바이트는 55 AA 이어야 하는데 55 AA가 00000120오프셋에 있는 것을 확인할 수 있다.  VBR이 손상되어 있으므로 0번째 섹터가 VBR이니 Back up VBR이 있는 위치인 6번째 섹터로 이동한다. 6번째 섹터로 이동했더니 VBR의 eX.MSDOS 이라는 문자는 보이지 않고 끝..

파일을 다운받으면 확장자가 없는 파일을 하나 볼 수 있다.HxD로 열어보면7z 파일이므로 확장자를 7z로 고치고 7zip file manager로 열어본다--(추가)--리눅스 환경에서 파일유형을 알아볼 수 있는 명령어 : file 명령어를 사용하여 해당파일이 어떤 파일(유형)인지 알아볼 수도 있다.kali linux 환경 --------- user 디렉토리가 보인다. 윈도우 계정들이 모여있다.사용자는 proneer로 추측할 수 있으며파일을 열어봤다 했으므로 링크파일(.lnk)이 존재할 것이다.Users\proneer\AppData\Roaming\Microsoft\Office\Recent\위치에서 링크파일을 확인할 수 있다.(참고로 최근문서목록은C:\Users\foreaser\AppData\Roaming\..

파일을 다운로드 받으면 확장자를 알 수 없는 파일하나가 보인다.확장자 확인을 위해 HxD로 시그니처를 확인해본다.문자열(7z)과 시그니처( 37 7A )로 알 수 있듯이 7z 압축파일이다.(뭔가 이상한데) 7z 확장자로 변경한 뒤 내부 파일을 보면 새 파일이 하나 더 있다. 이 파일도 확장자가 없으므로시그니처를 확인하면 완벽한(?) 7z파일의 시그니처( 37 7A BC AF 27 1C )를 볼 수 있다. 해당파일의 확장자를 다시 7z로 바꾼뒤 열어보면0.xx.7z 형식의 압축파일을 볼 수 있고 그 중 압축된 크기가 다른 파일을 확인 할 수 있다.원본크기가 어마어마하다.압축파일을 풀었을 때 크기가 큰 파일들에 의해 시스템자원이 침해되는 공격을(가용성 침해)ZipBomb 공격이라고 한다. 해당 파일을 열어보..

스마트폰을 제출받았다 하였으므로 FTK로 열어본다 NTFS 파일시스템인데 안드로이드 일줄 알았지만 저런 폴더 형식은 IOS에서 생성된다.따라서 IOS를 사용중인 폰을 제출받은듯. Itunes가 있는거 보니 아이폰 맞는 듯. --------------------------일단 어지러워서 분석 보류.  2020/11/10 이어서 풀기 시작  각 폴더에 앱에 관련된 정보가 있다. 와 근데 진짜 너무 어렵다 거의 1시간을 헤맸는데 뭘 원하는지 모르겠다. 그러다 심심해져서GGV 폴더를 보는데 코드게이트라 그런지 흉내만 낸 폴더가 아니라 진짜 앱에서 추출한 정보 인것 같다. 아무튼 외부로 업로드 했다고 했으니까 Itunes 또는 Dropbox 관련한 문제 일텐데 먼저 Dropbox 부터 분석해보자.  ---또다시 ..

제일 만만해보이는 문제 딱봐도 아스키코드인것 같아 문자로 변환해봤다 HashCalC로 안나와서 저기에 없는 인코딩알고리즘을 찾아봤다.인코딩된 문자를 보니 '='는 없고 아마 base64 일 것같아 디코딩해봤다.KEY = Today is a good day. The AuthKey is VeryVeryTongTongGuri!

아마 2013년 코드게이트 문제인듯이 문제도 p2p관련 정보를 찾아내야하는 것이 아닐까.. KEY Format : SHA1("md5(Evidence File)_Download Time")Download Time: KST, YYYY/MM/DD_HH:MM:SS 키포맷을 보니 HasCalc 이 필요할 듯 싶음.트래픽 증거는 있지만 다운로드 기록이 없어 기소가 불가능한상황이니 다운로드 기록을 찾으면 될 것 같다. 다운받은 파일을 FTK로 연다.p2p 관련 문제니까 utorrent 데이터 폴더에 들어가봤다.   settings.bat 배치파일은 다운로드 위치를 기록하고 있으므로 분석을 위해 BEncoder로 확인을 시도해본다. 다운로드 경로 확인.뭔가 있다. 추출해서 정보를 확인해보면파일이 다운로드 된 날짜는 2..