본문 바로가기

Forensic Chellenge/Digital Forensic Challenge

(8)
Digital Forensic Challenge 2020 [104] POST URL : https://ws1004-4n6.notion.site/104-Digital-Forensic-Challenge-2020-56370a81f40e4504aa8ea9dc9bd434b0 [104] Digital Forensic Challenge 2020 1. Why did the user fail to Windows backup? (15 points) ws1004-4n6.notion.site ※ 2021-12-04 문서 업로드 ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
Digital Forensic Challenge 2019 [IR200] POST URL : https://ws1004-4n6.notion.site/IR200-Digital-Forensic-Challenge-2019-3cf8696f94fc4228ae6a42a9fa8354ea [IR200] Digital Forensic Challenge 2019 시스템 재부팅, 로그아웃 이후에 공격자가 해당 시스템에 계속 접근을 한다고 한다. 공격자가 접근하기 위해서 bootkit, 하이재킹, 웹 셸 및 스케줄링된 작업과 같은 지속성 매커니즘을 사용했다. ws1004-4n6.notion.site ※ 2021-04-05 문서 업로드 ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
Digital Forensic Challenge 2020 [103] POST URL : www.notion.so/103-Digital-Forensic-Challenge-2020-50b6915d240947ba82d35d642500a69c [103] Digital Forensic Challenge 2020 비밀번호 파일이 저장된 탑재된 USB의 드라이브 문자를 찾기 위해서 system.L01 파일과 usb.dd 파일을 열어보자. system.L01 파일은 Michael이 사용했던 company's server의 레지스트리가 들어있는 디스크이고, www.notion.so ※ 2021-01-19 문서 업로드 ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
Digital Forensic Challenge 2020 [102] POST URL : www.notion.so/102-Digital-Forensic-Challenge-2020-a536defa09c44fa8b4b19f2e3d055023 [102] Digital Forensic Challenge 2020 1. What is the name of the most executed program and how many times it was run? www.notion.so ※ 2021-01-15 문서 업로드 ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
Digital Forensic Challenge 2020 [101] POST URL : www.notion.so/101-Digital-Forensic-Challenge-2020-66a84443a6f7448cb59214a32b746987 [101] Digital Forensic Challenge 2020 문제를 살펴 보면 주어진 pyc 파일 분석을 통해 특정 조건을 충족하는 두 파일의 각 해시값을 찾는 문제이다. 바이너리 또는 소스코드를 패치하여 우회하는 방법을 사용해서는 안된다고 했기 때 www.notion.so ※ 2021-01-14 문서 업로드 ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
Digital Forensic Challenge 2019 ART200 문제를 확인해 보면 용의자의 MacBook을 조사 하려했는데 결국 얻은 데이터는 MacBook의 시스템 로그 뿐이다. 1) 맥북의 모델 OS 버전(10점) 2) iCloud 계정 및 용의자 이름(10점) 3) MacBook과 연결되거나 탑재된 모든 기기 정보(예: 모델, 고유 식별자, 소유자, 방법 등) 4) 앱스토어를 이용한 앱 다운로드(10점) 5) 이메일의 첨부 및 출처(10점) 6) 누군가가 자료를 받은 것 같다. 피의자 및 수신자의 전화 번호 및 이메일 주소(10점) 7) MacBook의 활동을 개괄하고 각 이벤트(행, 키워드 등)를 자세히 설명하는 타임라인을 작성한다. 주요 이벤트는 AirDrop, Facetime, iMessage, Unlock, Mount, Wi-Fi 연결과 관련이 있다. ..
Digital Forensic Challenge 2019 MISC100 문제 설명을 한번 확인해 보겠습니다. 총 8개의 질문이 있습니다. 하나씩 해결을 해 나아가 보겠습니다. 1. Who am I? File Format 을 확인하는것이 먼저인것 같습니다. 50 4B 03 04 14 00 06 00 인것으로 보아 ZIP File Structure 를 의미하는데 좀더 아래에 [Content_Types].xml 파일이 눈에 보입니다. 이는 Microsoft File 이라는 것을 알 수 있습니다. .zip 으로 변경을 해보면 아래와 같습니다. 아까 본 [Content_Types].xml 파일이 존재 하고 word 라는 폴더가 있습니다. 이는 docx 또는 docm 파일을 의미하는데 pptx 파일은 아래와 같이 ppt 라는 폴더가 있습니다. docx파일과 docm 파일의 차이는 매크..
Digital Forensic Challenge 2019 MISC200 2개의 파일을 대상으로 차이점을 찾는 것이 이번 문제의 목표이고, 눈으로 보는것보다 더 찾아야 한다는 점을 고려해야 할것 같습니다. 먼저 문제 파일을 확인해 보면 pptx 파일이 2개가 있는 것을 확인 할 수 있습니다. 각각의 pptx 파일은 용량은 다르지만 700개의 슬라이드를 가지고 있었습니다. 제가 해볼 작업은 각각의 슬라이드를 전부 사진 파일로 추출후 Compare를 해주는 코드 또는 사이트에서 각각의 슬라이드를 비교해서 차이점이 있는부분을 찾아 볼 생각입니다. 차이점이 나왔다면 구조적으로 xml 파일등을 찾아서 어떤 부분이 달라서 이미지에서 차이가 발생하는지 까지 서술할 예정입니다. 슬라이드를 png 파일로 추출하는 방법은 아래와 같습니다. 파일 -> 저장/보내기 -> 파일 형식 변경 -> PN..