ssoL2 TISTORY

질문 : 악성코드에 감염된 PC인데, 악성프로그램을 찾아내라 !!!!! 🚨 다운 받았더니 AD1파일 등장 -> AD1을 지원하는 FTK로 분석해봅시다. Window PC 등장 악성 프로그램을 실행시켰으니 감염이 되었을 것이다. 그렇다면 prefetch가 남아 있을 것 windows에 있는 Prefetch 파일은 export해서 WinPrefetchView에서 관찰해보자 음.. 오지게 많다. prefetch로 당장 할 수 있는 것은 없다. 다시 back >> prefetch로 확인 할 것이 있을 때만 보기로 결심 Users에서 타고 내려가보면 대충 Vbox를 설치했음을 알 수 있음 Desktop 바탕화면에 VboxTester 실행파일 존재 그리고 AppData 폴더 속에 Chrome 방문기록, 다운로드 기..

또 나왔다옹 암호학 포렌식 문제 바로 그냥 16진수로 바꿔서 text로 변환시켜 봅시다 위의 스트링을 넣으면 최종적으로 16진수를 출력하는 프로그램을 짰당.py (더 쉽게 어떻게 짜는지 아이디어좀,,, 머리 조금 아팠당;;) 결론적으로 16진수 출력 완료 ! 오호 이번에도 문자가 나왔는데 대문자만 있네 근데 저번처럼 대소문자 섞이고 공백없을 때는 base64 decoding하면 됐는데, 이번엔 공백도 있어서 base64는 아닌 듯 하고,, 보면 볼수록 어떤 문장을 치환 암호로 바꿔놓은 듯한 느낌쓰 바로 시저암호 파이썬 파일 구해서 돌려봄 해당 코드는 se-you.tistory.com/4 에서 따왔습니다 ! 형광펜 친 부분을 치환 암호로 돌릴 문구로 바꿔놓으면 된다. 결과 값으로 시저 암호 KEY 26개 ..

굉장히 당황스러운 문제 저는 분명 디지털 포렌식 분야를 선택했는데 암호를 풀라뇨?! 일단 포렌식 문제에 위치한 이유가 있을 것이다. 위의 10진수 숫자들을 16진수로 바꿔서 HxD에 넣어보고 싶다는 생각이 들었다. 일단 파이썬으로 해당 숫자를 16진수 바꿉시당 따단 HxD에 넣어보니 특정 파일은 아닌 것 같았다 text가 너무 이상해,, 혹시 authkey인가?! 싶어서 넣어봤지만 역시 아니구 ^^:;;; 그래도 이 text로 마구마구 섞으면 나올 듯 싶었다. 일단, 문제 이름을 생각해보면 암호1문제였다 ! 고로 어떤 것으로 encode하는게 아닐까? 생각이 들었움 그래서 suninatas의 tool에서 사용해보았다 Hex encode하니 원래 16진수 값으로 돌아옴 ㅎㅎ url 갖구 놀아도 이상하구 b..

문제 : 조별과제 ppt 있는데 숨겨진 메세지 찾자 1_n.pptx를 열면 짱구가 반겨준다. 그러나 여기에 숨겨져 있는 메세지가 있단 사실~ pptx 속성을 보니까 5장의 슬라이드에 글자도 몇 개 없는데 209개의 단어가 나온 것보고 흠 뭔가 숨겨져 있구나 생각 파일 분리되는 거 있나 확인하려고 바로 foremost 명령어 때림 보니까 pptx 그대로 나오고 거기서 png 2개 추출된 듯 하다. 하나는 짱구고 하나는 Flag~ 야호 끝 ZIP, DOCX, PPTX, XLSX, JAR 등 모두 헤더 시그니처가 50 4B 03 04로 동일하다 forensic-proof.com/archives/300

문제 : 어디 회사를 갈지 찾자 다운 받은 FINDAJOB.ZIP 압출 풀려고 하는데 오류남 -> 막아놓은듯 HxD로 살펴보자 ZIP 파일 구조를 찾아보니 [Local Header - File Data]-...-[Central Directory]-[End of Central Directory] 구조이다. 이때, ZIP의 로컬 헤더 시그니처는 50 4B 03 04이다. 자세한 ZIP 파일 구조는 아래 출처에서 볼 수 있다. jmoon.co.kr/48 역시나 헤더 시그니처가 잘못되어있다. 50 50 -> 50 4B로 바꾸자 FINDAJOB.TXT에서 건물 그림 사이에 있는 알파벳이 KET이다. (문제 풀이보다 KEY 찾는게 더 어려움) 끝

re : xeh_desrev 설명보면 png 복구하라고 나와 있다. (제목에도 힌트가 존재함 잘 보자 >> 거꾸로 하면 versed_hex : re -> reversed_hex) 헤더 시그니처부터 이상 근데 png 푸터 시그니처가 49 45 4E 44 AE 60 82 인데, 형광펜 칠해놓은 것과 반대로 되어 있음 거꾸로 돌려 놓자 파이썬 + 계산기 이용 굿 png로 돌아왔다 오예 끝

너 음악 좋아하니? Hint : Authkey는 파일 안에 숨겨져 있다. 노래는 나비-diary 문제 풀면서 거의 4번은 들은 듯.. 노래 너무 오랜만이고 ~^^! 사실 위 사진에서 소리 조절 오른쪽에 설정 누르면 '다운로드'가 있던데 처음에는 몰라서 주소로 mp3를 다운받았다. 흠 역시 실행은 안되고.. file 명령어를 통해 파일 정보를 알아보자. 음..Audio 파일이고.. MPEG ADTS를 포함하고 있고.. 딱히 뭔가 중요해보이는 건 없어보이는데,, 그나마 MPEG랑 ADTS가 뭔지 알아보자 MPEG : 음... 대충 보니 비디오 혹은 음악 파일을 압축하기 위해 모인 그룹으로, 배포하기 위해서 높은 용량을 줄이기 위한 목적이다. ADTS : ACC가 압축된 음성 데이터라면, 이에 대응하는 헤더 ..

suninatas의 비밀번호를 아니? 다운 받아보니 tar 확장자 tar 는 여러 개의 파일을 하나의 파일로 묶거나 풀 때 사용하는 명령 ! Tape ARchiver 의 앞글자를 따서 TAR !! -> 파일 전송 시 여러 개이면 관리 복잡해지니까 하나로 합쳐서 처리하기 위한 목적 보통 리눅스나 SSH 환경에서 사용되며, 실제로는 "압축" 하지는 않고 하나의 파일로 묶는 용도일 뿐이다! tar를 통해 하나로 합쳐진 파일은 gzip 또은 bzip2 방식으로 압축 가능 gzip일 경우 .tar.gz 이며, bzip2일 경우, .tar.bz2 이다 !! 혹시 그래서 하나로 합쳐져 있다길래 foremost로 분리될 까 싶어 해봤지만 어떠한 것도 추출되지 않았다 !!! tar -> foremost XXX 따라서 t..

아 ㅋㅋ 입사 테스트[1]로 착각하고 헤맸네 ㅇ.ㅇ;;;;;;;;;;;;;; 문제 ㅎㅇ영 설명대로 이미지 파일을 복구 하면 되겠구만 ^^! task.jpg 다운로드~~~ 역시 지원이 안되는구만 ^^ 일단 HxD로 살펴보자구~! 일단 보니까 헤더 시그니처가 JPG도 아님 근데 자세히 보니 PNG랑 더 가까움 JPG : FF D8 FF E0 xx xx 4A 46 헤더 : 89 4A 50 47 0D 0A 1A 0A PNG : 89 50 4E 47 0D 0A 1A 0A => 헤더를 JPG 말고 PNG로 바꾸자 PNG 헤더 시그니처로 바꿈 ㅇㅇ 오 지원하지 않던 형식이 검은 바탕이 나타남 올ㅋ 그래도 이번엔 크기 형식도 작고 괜춘한디,,,,,,,,,,,,,,,,그럼 TrewkPNG로 살펴보자 TrewkPNG : ..

문제 두둥등장 ~~~~~~~~~~~~~~~~~ 설명 그대로 PNG를 복구해봅시다~~ ????????? 사진이 안보임 파일 형식이 지원되지 않나봄 WHAT? PNG 형식인데 왜 안보이냐,,, 일단 HxD로 PNG 구조를 살펴보자 ??????????? ㄷ ㄷ PNG 헤더 시그니처는 "89 50 4E 47 0D 0A 1A 0A" 인데 mandu.png에서는 다름 => 제대로 수정하자 수정함 저장하고 사진 나오는지 확인해보자 개꿀~~~ 쉽구마잉 ^~^* Yeah~!

21번 문제 두둥등장 언뜻보니 메모장에 Solution Key가 적혀 있는데 자로 가려져 있음 일단 사진 저장 ㄱ [Downloads] 에 저장된 monitor.jpg 오늘 저장한 다른 jpg 사진들 보다 특히나 큰 크기 => 의구심 up ubuntu에서 foremost 명령어를 이용해 숨겨진 파일이 있는지 확인해보자 output directory 생김 !! 들어가보자 audit.txt와 jpg directory 생김 !! audit.txt 살펴보니 오홍 ~ 8개의 JPG 파일이 두둥등장 !!!!!!!!!!!!!!!! 그럼 아까 JPG directory 안에 8개의 사진 파일이 있나보다 ~! 역싀...^^* 8개 파일 있었구만 ^^ 무슨 사진인지 확인해봐야징~~~~ 따라란~~~~~ 자로 다양한 각도로 찍..

잠깐 !!! 위치 /etc/xinetd.d 에서 xinetd를 알아보자. 다시 돌아와서 backdoor를 읽어보자. backdoor에 있는 내용은 위와 같음! 위의 예시인 telnet 서버처럼 생각해보자. finger이라는 서비스는 level5의 권한을 갖고 있으며 /home/level4/tmp/backdoor의 파일을 읽어 들인다. 즉, finger는 1. /etc/xineted.d/backdoor 에서 사용되는 finger 2. /usr/bin/finger 두가지가 있는 것이다. 그렇다면 1. /etc/xineted.d/backdoor 에 있는 finger를 작동시키려면 어떻게 해야 할까? xineted 특성상 A 서버의 사용자가 B 서버로 접속 시 이용하는 서비스이다. 여기서 1번 finger가 작..