본문 바로가기

Forensic Chellenge/Several Other Challenge

(9)
2019 안티포렌식 모의문제(디지털 포렌식 전문가 2급) POST URL : www.notion.so/2019-2-bd2ad068e0ce4615832de0b16d4087c2 2019 안티포렌식 모의문제(디포전2급) 시나리오 www.notion.so ※ 2021-03-02 문서 업로드 ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
HackTheBox Challenge Write Up POST URL : www.notion.so/Hack-The-Box-Challenge-c994ddccb4f2418f801547b0040de5f4 Hack The Box Challenge Forensics www.notion.so ※ 2021-02-05 문서 업로드 ※ 2021-02-05 [Forensic] emo 작성 ※ 2021-02-08 [Forensic] Lure 작성 ※ 2021-02-10 [Forensic] Blue Shadow 작성 ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
Magnet Weekly CTF Challenge Write Up POST URL : www.notion.so/Magnet-Weekly-CTF-Challenge-c82f2c11ee12426aa1cea2d822c9aae9 Magnet Weekly CTF Challenge 포렌식 도구 중에서 Magnet AXIOM 으로 많이 알려져있는 Magnet 회사에서 10월 부터 매주 1문제씩 Challenge 형식으로 출제를 하고 있다. 10월에는 안드로이드 관련 문제, 11월에는 리눅스 이미지 관련 문 www.notion.so ※ 2021-01-13 문서 업로드 ※ 2021-01-13 Week 1 ~ Week 3 작성 ※ 2021-01-15 Week 4 작성 ※ 2021-01-18 Week 2 수정 ※ 2021-01-19 Week 5 작성(진행중...) ★읽어 보시면서 이상한 부..
[CFReDS Project] Hacking Case 문제를 확인해 보면 총 8개의 파일을 제공해 주면서 시나리오를 제공해 문제를 해결하는 문제입니다. 문제 사이트 : https://www.cfreds.nist.gov/Hacking_Case.html 먼저 시나리오를 한번 확인해 보겠습니다. 2004년 9월 20일에 일련번호가 #VLQLW인 Dell CPI 노트북이 무선 PCMCIA 카드와 집에서 만든 수제 820.11b 안테나와 함께 버려진 채로 발견. 해당 컴퓨터는 해킹 용의자인 그레그 샤르트와 관련 짓기는 쉽지 않지만 해킹 목적으로 사용되었다는 의심을 받고 있습니다. 그레그 샤르트 또한 Mr. Evil 이라는 온라인 별명을 가지고 있습니다. 그의 동류들은 그가 무선 액세스 포인트(스타벅스 혹은 그 외 T-Mobile 핫 스팟과 같은) 근처에 그의 차량을..
[CFReDS Project] DFR-01-RECYCLE(FAT) : Recover one file from emptied recycle bin 문제를 확인해 보면 dfr-01-recycle-fat.dd.bz2 파일을 제공해 주면서 비어있는 휴지통에서 파일 하나를 복구하는 문제입니다. 문제 사이트 : https://www.cfreds.nist.gov/dfr-test-images.html bz2 로 압축이 되어있는 파일을 bunzip2 명령으로 압축을 해제해 보겠습니다. dfr-01-recycle-fat.dd 파일로 1GB FAT 파일 시스템 파일입니다. hex값을 한번 확인해 보면 MBR 영역부터 있는것을 확인할수 있습니다. 이는 물리적인 디스크를 이미지 덤프 뜬것으로 확인이 됩니다. 사용하지 않는 영역은 아래와 같이 Empty Sector [Number] not used ZZZZZZZZZZ.. 라고 적혀 있습니다. MBR에 적혀있는 파티션 테이..
OtterCTF 2018 write up 해당 메모리 덤프 파일의 User Password를 찾는 문제입니다. 메모리 덤프 파일의 프로파일을 알아 보기 위해서 imageinfo 플러그인을 이용해 보겠습니다. 프로파일은 Win7SP1x64 를 사용하겠습니다. User Password를 찾기 위해서 hive파일의 가상주소를 먼저 알아보면 아래와 같습니다. SAM 파일과 SYSTEM 파일이 필요합니다. SAM 파일 : 0xfffff8a0016d4010 SYSTEM 파일 : 0xfffff8a000024010 Rick이라고 하는 사용자가 있었고 NTLM 값인 518172d012f97d3a8fcc089615283940 를 크랙 사이트에 넣어 보면 아무런 값이 나오지 않습니다. 그래서 UserPassword를 NTLM이 아닌 다른 곳에서 찾을수 있는가를 찾..
HDCON Track 1 write up (1) 사건의 원인? 첨부된 vmware 파일을 열어서 확인해 보면 default 경로에 아래와 같이 숨겨진 파일들이 엄청 많은 것을 확인 할 수 있다. 이런 파일 중에서 .viminfo 파일이 눈에 보입니다. .viminfo 파일이란 vim을 사용했을때 작성되는 일종의 log 파일을 의미합니다. 해당 파일에는 vim 을이용해서 수정하고 작업을 했던 파일의 로그 파일 형식처럼 작성이 됩니다. 해당 파일을 열어보면 매우 방대한 내용이 들어있습니다. 여기에 적혀있는 파일들을 정리해 보면 아래와 같습니다. 위의 경로를 확인해 본 결과 /root/ 는 접근이 불가능 했고, /var/www/html/test.html 파일은 존재 하지 않았다. wordpress 와 관련 있는 파일들을 자세히 봐야 할것 같다. 그중..
WhiteHat 2015 write up 1. 박부장 PC의 문서를 암호화한 랜섬웨어 파일은 무엇인가요?(전체 경로) 문제 파일을 받아서 압축을 해제해 보면 DISKDUMP.vmdk 파일과 MEMDUMP 파일이 존재 합니다. 메모리 덤프 파일을 통해서 프로세스를 좀 확인해 보겠습니다. profile이 Win7SP0x64을 사용하면 될 것 같습니다. 프로세스 및 하위 프로세스를 확인하기 위해서 여러 프로세스 플러그인 중에서 pstree를 사용해 보겠습니다. 위의 프로세스 트리를 확인해 보면 아래와 같다는 것을 알 수 있습니다. explorer.exe └ iexplore.exe └━ Hwp.exe └━━ temp.exe └━━━ cmd.exe └━━━━ OfficeHelp.exe 인터넷 익스프로러 하위에 Hwp.exe 라는 프로세스가 돌고 있습니다..