ssoL2 TISTORY

질문 : 악성코드에 감염된 PC인데, 악성프로그램을 찾아내라 !!!!! 🚨 다운 받았더니 AD1파일 등장 -> AD1을 지원하는 FTK로 분석해봅시다. Window PC 등장 악성 프로그램을 실행시켰으니 감염이 되었을 것이다. 그렇다면 prefetch가 남아 있을 것 windows에 있는 Prefetch 파일은 export해서 WinPrefetchView에서 관찰해보자 음.. 오지게 많다. prefetch로 당장 할 수 있는 것은 없다. 다시 back >> prefetch로 확인 할 것이 있을 때만 보기로 결심 Users에서 타고 내려가보면 대충 Vbox를 설치했음을 알 수 있음 Desktop 바탕화면에 VboxTester 실행파일 존재 그리고 AppData 폴더 속에 Chrome 방문기록, 다운로드 기..

문제 : 조별과제 ppt 있는데 숨겨진 메세지 찾자 1_n.pptx를 열면 짱구가 반겨준다. 그러나 여기에 숨겨져 있는 메세지가 있단 사실~ pptx 속성을 보니까 5장의 슬라이드에 글자도 몇 개 없는데 209개의 단어가 나온 것보고 흠 뭔가 숨겨져 있구나 생각 파일 분리되는 거 있나 확인하려고 바로 foremost 명령어 때림 보니까 pptx 그대로 나오고 거기서 png 2개 추출된 듯 하다. 하나는 짱구고 하나는 Flag~ 야호 끝 ZIP, DOCX, PPTX, XLSX, JAR 등 모두 헤더 시그니처가 50 4B 03 04로 동일하다 forensic-proof.com/archives/300

문제 : 어디 회사를 갈지 찾자 다운 받은 FINDAJOB.ZIP 압출 풀려고 하는데 오류남 -> 막아놓은듯 HxD로 살펴보자 ZIP 파일 구조를 찾아보니 [Local Header - File Data]-...-[Central Directory]-[End of Central Directory] 구조이다. 이때, ZIP의 로컬 헤더 시그니처는 50 4B 03 04이다. 자세한 ZIP 파일 구조는 아래 출처에서 볼 수 있다. jmoon.co.kr/48 역시나 헤더 시그니처가 잘못되어있다. 50 50 -> 50 4B로 바꾸자 FINDAJOB.TXT에서 건물 그림 사이에 있는 알파벳이 KET이다. (문제 풀이보다 KEY 찾는게 더 어려움) 끝

re : xeh_desrev 설명보면 png 복구하라고 나와 있다. (제목에도 힌트가 존재함 잘 보자 >> 거꾸로 하면 versed_hex : re -> reversed_hex) 헤더 시그니처부터 이상 근데 png 푸터 시그니처가 49 45 4E 44 AE 60 82 인데, 형광펜 칠해놓은 것과 반대로 되어 있음 거꾸로 돌려 놓자 파이썬 + 계산기 이용 굿 png로 돌아왔다 오예 끝

아 ㅋㅋ 입사 테스트[1]로 착각하고 헤맸네 ㅇ.ㅇ;;;;;;;;;;;;;; 문제 ㅎㅇ영 설명대로 이미지 파일을 복구 하면 되겠구만 ^^! task.jpg 다운로드~~~ 역시 지원이 안되는구만 ^^ 일단 HxD로 살펴보자구~! 일단 보니까 헤더 시그니처가 JPG도 아님 근데 자세히 보니 PNG랑 더 가까움 JPG : FF D8 FF E0 xx xx 4A 46 헤더 : 89 4A 50 47 0D 0A 1A 0A PNG : 89 50 4E 47 0D 0A 1A 0A => 헤더를 JPG 말고 PNG로 바꾸자 PNG 헤더 시그니처로 바꿈 ㅇㅇ 오 지원하지 않던 형식이 검은 바탕이 나타남 올ㅋ 그래도 이번엔 크기 형식도 작고 괜춘한디,,,,,,,,,,,,,,,,그럼 TrewkPNG로 살펴보자 TrewkPNG : ..

문제 두둥등장 ~~~~~~~~~~~~~~~~~ 설명 그대로 PNG를 복구해봅시다~~ ????????? 사진이 안보임 파일 형식이 지원되지 않나봄 WHAT? PNG 형식인데 왜 안보이냐,,, 일단 HxD로 PNG 구조를 살펴보자 ??????????? ㄷ ㄷ PNG 헤더 시그니처는 "89 50 4E 47 0D 0A 1A 0A" 인데 mandu.png에서는 다름 => 제대로 수정하자 수정함 저장하고 사진 나오는지 확인해보자 개꿀~~~ 쉽구마잉 ^~^* Yeah~!