ssoL2 TISTORY

보호되어 있는 글입니다.

Thumbs.db - 윈도우에서 이미지 파일 미리보기를 사용할 때 생기는 파일로, 이미지파일에 접근하기 전에 Thumbs.db파일에서 먼저 확인하여 미리보기 속도를 향상시킨다. vinetto - Microsoft thumbs.db 파일에서 이미지를 추출해주는 기능을 제공한다. sudo apt-get update sudo apt-get install vinetto vinetto [thumbs.db]

문제 : 정보를 숨기는 것을 찾으시오. zip 파일 구조 상 파일 시스템인 것 같아서 FTK Imager로 마운트했다. Thumbs.db는 윈도우에서 이미지 미리보기 파일로, 이미지를 삭제해도 캐시가 남아있을 수 있다. 그래서 Thumbs.db를 추출해서 열어보려 했지만 오류가 발생... why러노........ 그러다 Hex 값 분석 중에 Thumbs.db 마지막 부분에 file 명이 노출되어 flag를 찾을 수 있다. 끝 🚫 flag는 🚫 더보기 h4ck1t{75943a3ca2223076e997fe30e17597d4}

문제 : ALYSSA의 계정의 패스워드를 찾으시오. forensics.rar 파일을 압축해제하면 'SAM'과 'SYSTEM' 파일이 추출된다. 'SAM' 파일과 'SYSTEM' 파일은 윈도우 레지스트리 파일이다. samdump2는 SAM과 SYSTEM 레지스트리를 이용하여 윈도우 계정의 암호 해시를 구할 수 있다. samdump2 사용법 -> https://ssol2-jjanghacker.tistory.com/entry/samdump2-%EC%82%AC%EC%9A%A9%EB%B2%95 문제에서 'ALYSSA'의 계정이라는 hint를 주었으므로 ALYSSA의 password를 크랙하면 된다. NTLM 해시 디코딩 사이트에서 돌려봤는데 인식되지 않는다. 뭐지 싶어서 나머지 계정들의 NTLM 해시를 디코딩 해..

보호되어 있는 글입니다.

문제 : 민감한 파일을 삭제했는데도 여전히 남아있다. 이를 찾아라! catz.img를 FTK Imager에 마운트하고, 굉장히 기욤기욤한 고양이들이 존재한다. 문제에서 언급했듯이, 우리가 찾아야하는 '민감한 정보'는 이미 삭제되었다. 따라서, 비할당영역에 있기 때문에 비할당영역의 내용을 출력해주는 [blkls]를 사용한다. blkls 정리 -> https://ssol2-jjanghacker.tistory.com/entry/linux-blkls-%EB%AA%85%EB%A0%B9%EC%96%B4?category=908632 linux blkls 명령어 TSK(The Sleuth Kit)는 Brain Carrier가 File System Forensics을 위해 개발한 도구이다. 지원하는 명령어 도구 중 하나..

TSK(The Sleuth Kit)는 Brain Carrier가 File System Forensics을 위해 개발한 도구이다. 지원하는 명령어 도구 중 하나가 [blkls]이다. 슬랙 공간(slack space)란, 디스크 섹터에 데이터가 저장되고 남은 데이터 공간이다. 다른 데이터가 디스크에 기록되어도 슬랙 공간에 저장되지 않고 다른 섹터에 저장한다. 그렇기 때문에 이 슬랙 공간은 악성코드나 특정 데이터들을 숨기거나 기록하는데 악용되기도 한다. 파일을 삭제하면 비 할당영역이 생기는데, 파일 삭제의 흔적을 알기 위해서 비 할당영역을 확인하면 증거의 흔적을 발견할 수 있다. blkls의 [-s] 옵션을 이용하면 slack space에 숨겨진 데이터를 읽을 수 있다. blkls의 [-A] 옵션을 이용하면 ..

문제 : slack에서 key를 찾아라. gzip을 압축해제하면 [2012_Defcon20_F100-find_key]가 나온다. [2012_Defcon20_F100-find_key]의 파일 유형은 Linux ext3 filesystem data이다. FTK Imager를 통해 마운트하고 파일을 분석하자. 대충 보면 거의 시스템 c언어 파일만 존재한다... 마땅한 파일이 존재하지 않는다. 문제 내용처럼 slack을 찾기 위해서 폴더들을 분석하다가 [bits] 폴더에서 SlackFile을 하나 발견하였다. 그런데 마지막 byte에 data가 존재하였고, FileSlack에 flag를 숨겼구나 예상할 수 있었다. 혹시 저 slackfile에만 data가 존재할 수도 있으니까, 다른 slackfile을 찾아서 ..

https://whitesnake1004.tistory.com/591 LNK File Structure LNK File 이란? LNK File은 Shell Link나 Shortcut이라고 불리는 Link File 구조체 라고도 이야기를 하는데 다른 데이터들의 접근하는데에 필요한 정보를 가지고있는 데이터 입니다. Shell Link Binary File Forma.. whitesnake1004.tistory.com

문제 : CFO 컴퓨터에서 훔친 EXCEL 파일 경로와 파일 크기를 구해 md5로 계산해라. 2012_CodeGate_F100의 파일 유형을 알아보니 7zip 형태이다. (코드게이트 문제라니!!!) FTK Imager는 zip 파일 형식도 지원하므로 FTK로 열어보자. User 폴더가 나오는데, 누가봐도 CFO의 계정은 "proneer"일 것이다. proneer 폴더를 열어보니 윈도우 운영체제임을 유추할 수 있다. 또한, Excel 파일이 남아 있을까 찾아봤는데 파일 자체는 존재하지 않았다. 그러고 나서 Excel의 "흔적"을 찾기 위해서 Microsoft를 분석하기로 하였다. [proneer]-[AppData]-[Roaming]-[Microsoft]-[Office]-[Recent] 경로에 가면 파일의 ..

는 이 블로그만 있으면 된다. https://jmoon.co.kr/48 압축_집(Zip)구조 형태 원리 분석 ZIP 파일 형식이란 데이터를 압축, 보관하기 위한 파일형식이다. ZIP 파일은 하나 혹은 여러 개의 파일들을 그 크기를 줄여 압축하고 하나로 묶어 저장한다. ZIP 파일 형식에서는 다양한 종류의 압 jmoon.co.kr 갓갓... 나중에 기회되면 나도 정리해보..겠...다..

1차원 바코드는 정보 저장 능력의 하락으로 2차원 바코드가 도입되었다. 2차원 바코드는 조그마한 사각형 안에 점자, 또는 모자이크 식 코드로 표현한 평면 바코드이다. 이는 가로만 정보를 담았던 1차원 바코드보다 약 100배 이상의 정보를 담을 수 있고, Text는 물론 그래픽, 사진, 음성, 지문, 서명 등 다양한 형태의 정보를 담을 수 있다. 특히 중요한 것은 2차원 바코드는 암호화가 가능해 각종 인증 시스템으로 활용될 수 있다. 1. PDF417 개발사(국가) : Symbol(미국) 방식 : Stack barcode 시장점유율의 1순위로, 주요 특징은 대용량이 가능하다. 2. Data Matrix 개발사(국가) : CI Matrix(영국) 방식 : Matrix 초소형 코드화라는 특이 사항이 존재하고,..