ssoL2 TISTORY

위는 jpeg 파일 구조이고 아래는 각 구조에 대한 설명이다. 참고로 위 사진 순서대로 되어있지 않음 각자 찾아봐야 함 jpg는 SOI로 "FF D8" 이미지 시작을 알리고 이후 APPn으로 썸네일 이미지를 담는다. 위 사진을 보면 APP1 마커 마지막에 썸네일을 담는다. 이 썸네일은 또 SOI로 시작되기 때문에 "FF D8"로 시작하는 것임. 따라서 JPG 헥스 분석시에 첫 FF D8은 본연의 헤더 시그니처이고 두번째부터는 썸네일 관련이다. 또한, FF D8이 한번 더 나오는 구조는 썸네일의 썸네일이라고 생각하면됨 ㅇㅇ 아래 그림은 CTF 문제를 HxD로 분석한 것! 대충 이런 구조로 썸네일의 썸네일이 있단 소리이다. 주소가 썸네일의 썸네일 예시-> ssol2-jjanghacker.tistory.com..

WAV(Waveform Audio File Format)는 개인용 컴퓨터에서 오디오를 재생하는 오디오 파일 포맷 표준이다. 확장자는 [.wav]이다. 비압축 포맷이다. wave 파일의 헤더 구조 1. RIFF Chunk ID (4 byte) = wave 파일의 헤더 시그니처 => 52 49 46 46 (ASCII로 RIFF) Chunk size (4 byte) = 전체 파일 크기 - 8 byte(Chunk ID 4 byte + Chunk size 4 byte) -> Little Endian 작성 Format (4 byte) = 파일 형식 => 57 41 56 45 (ASCII로 WAVE) 2. FMT Chunk ID (4 byte) = 'fmt ' 고정값=> 66 6D 74 20 (ASCII로 fmt +..

Audacity : 음악 파일 분석 툴 (주로 big주파수에 flag 숨기기, 백마스킹, 모스부호 등) 사이트 -> www.audacityteam.org/ audacity 사용 1. ctrl+A 전체선택하고 [분석]-[스펙트럼 표시] -> 가로 줄 주파수가 사람이 들을 수 있는 16K 이상이면 flag 의심 2. 백마스킹은 [효과]-[역순으로] -> 실행하면 역으로 재생(역의 역이니까 정상 소리) 3. 모스부호는 스펙트럼 왼쪽 블락에 [X 파일명 아래화살표]에서 아래화살표 눌러서 [스테리오 트랙 분할]하면 보일 것임

GIMP2 => 포토샵 비스무리한 프로그램 => 스테가노그래피 문제 풀 때 사용 사이트 -> www.gimp.org/ install과정을 거치고 실행하면 프롤로그 시작된다. GIMP를 '김프'라고 부르면 되는 것 같다. 그누 이미지 처리 프로그램이다. 나중에 메모리 덤프 속의 이미지를 확인하고 싶으면 GIMP2를 이용하면 된다. ex) mspaint.exe memdump

공부 1. volatility 사용법 공부 www.volatilityfoundation.org/ 2. PID와 PPID 3. md5, NTLM 해시 1. volatility 사용법 Volatility : 메모리 덤프 파일을 분석하는데 사용되며, 파이썬 기반으로 무료 어플리케이션이다. Readme.txt를 참고해서 기본으로 제공되는 플러그인을 확인할 수 있다. 다운로드 링크 (os 환경에 맞게 설치) -> www.volatilityfoundation.org/26 설치 완료된 모습 메모리 덤프 파일[MemoryDump(SuNiNaTaS)]을 분석하기 위해서 해당 파일을 volatility.exe 위치로 옮긴다. 윈도우 cmd에서 volatility.exe 주소로 옮긴다. 이제 volatilty의 플러그인 사..

공부 1. http, ftp, dns, tls 프로토콜 통신규약 등을 공부하기 2. zip password cracking 하는 법 (ex : advanced archive password recovery) 1. 프로토콜 통신규약 프로토콜(Protocol) : 컴퓨터 통신 시 지켜야 할 절차 및 규약 1) HTTP 프로토콜 HTTP(Hypertext Transfer Protocol) : 인터넷에서 데이터를 주고 받기 위한 서버/클라이언트 모델을 따르는 프로토콜 Application Level Protocol로 TCP/IP 위에서 작동한다. HTTP는 이미지, 동영상, 오디오 등 어떤 종류의 데이터든지 전송할 수 있도록 설계돼 있다. Hypertext 기반으로, 즉 링크 기반으로 데이터를 전송 및 접속한다..

공부 1. 추천문서 bpsecblog.wordpress.com/2016/08/21/amalmot_4/ 정독 2. 스테가노 그래피 도구 알아보기 3. 이미지 스테가노 체크리스트 stegonline.georgeom.net/checklist 정독 1. 추천문서 정독하기 bpsecblog.wordpress.com/2016/08/21/amalmot_4/ 스테가노그래피 스테가노그래피(steganography) : 고대 그리스 언어 "stegos"(감추다) + "graphie"(글) = "감춰진 글" 일반 메세지에 비밀 메세지를 숨기고 최종 목적지에서 비밀 메세지를 볼 수 있는 것 호스트 파일(또는 carrier 파일) : 비밀 메세지를 저장하고 있는 파일 페이로드 : 호스트 파일 안에 숨겨진 비밀 문서 노이즈(no..

공부 1. 보고서 특강 2. Windows eventlog 가 무엇인지, 어디에 저장되는지 등 3. veracrypt를 한 번 사용해 보세요. 1. 보고서 특강 디지털 포렌식 분야에서 보고서 작성의 비중이 높다. 어떤 대회는 점수 비중이 50%나 될 정도로.. 보고서의 전체적인 구성은 다음과 같다. 1) 문제 내용 2) 사용한 도구 목록 (툴 이름, 발행자, 버전, URL) 3) 수집한 아티펙터 목록 ($MFT, $UsnJrnl$J 등) 4) PC 환경 (운영체제, Bit, ReleaseId, IP 주소) 5) 사용기록 타임라인 -> 위에 수집한 아티펙터를 기준으로 시간 순으로 내용이 기록되며, 파일 생성 기록은 NTFS Log Tracker를 사용함 6) 문제 풀이 Writeup 7) reference..

# 2주차는 1주차 풀이 보충 및 공부 X 공부 1. 윈도우 포렌식 도구들 사용법 익히기 2. windows prefetch 가 무엇인지, 어디에 저장되는지 알아보기 (www.forensic-artifact.com/windows-forensics/prefetch) 1. 윈도우 포렌식 도구 1) FTK Imager : 수집된 데이터의 무결성을 보장하기 위해서 정확한 복사본(포렌식 이미지)를 생성하는 도구 더불어 데이터 사전 분석과 정보 검색 RAM 같은 휘발성 데이터 수집도 가능 - 하드 디스크 뿐만 아니라 아래의 저장 장치에서도 데이터 수집 가능 자기미디어 광학 미디어 대체 미디어 플로피 디스크 CD MP3 플레이어 하드 드라이브 CD-R 또는 CD-RW 태블릿 USB/PC 카드 DVD 스마트폰 ZIP ..

공부 1. 주요 파일들의 헤더/푸터 시그니처 공부 2. HxD, foremost 도구 사용법 3. PNG, APNG 파일 구조 1. 주요 파일들의 헤더/푸터 시그니처 공부 - 파일의 데이터를 사용하기 위해 관련 소프트웨어를 이용 -> 이러한 소프트웨어들은 각각 자신만의 고유한 파일 포맷을 만들어 사용 -> 소프트웨어가 어떤 파일을 읽을 수 있다면, 해당 파일의 포맷을 해석 할 수 있다는 뜻 - 파일 시그니처(File Signature) : 파일들은 각각 고유한 포맷을 가지고 있는데, 포맷의 기본이 되는 내용 - 파일의 가장 처음 위치하는 특정 바이트들도 파일 포맷을 구분하기 위해 사용됨 - 파일 시그니처는 파일 처음 뿐만 아니라 마지막에도 존재하는 포맷도 있음 -> 파일 처음에 존재하는 시그니처 : 헤더..

CodeBook 에 대해 변환, CodeBook에 존재하지 않는 단어는 그대로 노출 {'5':'a', '2':'b','#':'d', '8':'e','1':'f','3':'g','4':'h','6':'i','0':'l',\ '9':'m','*':'n','%':'o','=':'p','(':'r',')':'s',';':'t','?':'u','@':'v',':':'y','7':' '} def makeCodebook() : decBook = {'5':'a', '2':'b','#':'d', '8':'e','1':'f','3':'g','4':'h','6':'i','0':'l',\ '9':'m','*':'n','%':'o','=':'p','(':'r',')':'s',';':'t','?':'u','@':'v',':':'..