본문 바로가기

Forensic Chellenge

(9)
2019 안티포렌식 모의문제(디지털 포렌식 전문가 2급) POST URL : https://ws1004-4n6.notion.site/2019-2-7f2fb5b7e31749c193c96383ec3081e0 2019 안티포렌식 모의문제(디지털 포렌식 전문가 2급) 시나리오 ws1004-4n6.notion.site ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
HackTheBox Challenge Write Up POST URL : https://ws1004-4n6.notion.site/Hack-The-Box-Challenge-383eafcd06814169a8e88d036f3e8f4f Hack The Box Challenge Forensics ws1004-4n6.notion.site ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
2020 Magnet Weekly CTF Write Up POST URL : https://ws1004-4n6.notion.site/Magnet-Weekly-CTF-2020-6adde3dae5304654bfa10dcb393d880c Magnet Weekly CTF 2020 포렌식 도구 중에서 Magnet AXIOM 으로 많이 알려져있는 Magnet 회사에서 10월 부터 매주 1문제씩 Challenge 형식으로 출제를 하고 있다. 10월에는 안드로이드 관련 문제, 11월에는 리눅스 이미지 관련 문 ws1004-4n6.notion.site ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
[CFReDS Project] Hacking Case 문제를 확인해 보면 총 8개의 파일을 제공해 주면서 시나리오를 제공해 문제를 해결하는 문제입니다. 문제 사이트 : https://www.cfreds.nist.gov/Hacking_Case.html 먼저 시나리오를 한번 확인해 보겠습니다. 2004년 9월 20일에 일련번호가 #VLQLW인 Dell CPI 노트북이 무선 PCMCIA 카드와 집에서 만든 수제 820.11b 안테나와 함께 버려진 채로 발견. 해당 컴퓨터는 해킹 용의자인 그레그 샤르트와 관련 짓기는 쉽지 않지만 해킹 목적으로 사용되었다는 의심을 받고 있습니다. 그레그 샤르트 또한 Mr. Evil 이라는 온라인 별명을 가지고 있습니다. 그의 동류들은 그가 무선 액세스 포인트(스타벅스 혹은 그 외 T-Mobile 핫 스팟과 같은) 근처에 그의 차량을..
[CFReDS Project] DFR-01-RECYCLE(FAT) : Recover one file from emptied recycle bin 문제를 확인해 보면 dfr-01-recycle-fat.dd.bz2 파일을 제공해 주면서 비어있는 휴지통에서 파일 하나를 복구하는 문제입니다. 문제 사이트 : https://www.cfreds.nist.gov/dfr-test-images.html bz2 로 압축이 되어있는 파일을 bunzip2 명령으로 압축을 해제해 보겠습니다. dfr-01-recycle-fat.dd 파일로 1GB FAT 파일 시스템 파일입니다. hex값을 한번 확인해 보면 MBR 영역부터 있는것을 확인할수 있습니다. 이는 물리적인 디스크를 이미지 덤프 뜬것으로 확인이 됩니다. 사용하지 않는 영역은 아래와 같이 Empty Sector [Number] not used ZZZZZZZZZZ.. 라고 적혀 있습니다. MBR에 적혀있는 파티션 테이..
OtterCTF 2018 write up POST URL : https://ws1004-4n6.notion.site/2018-OtterCTF-85211b45af6f4a8f873ad47036af1ed0 2018 OtterCTF 2018 Otter CTF에서 메모리 포렌식 문제가 13개 정도 출제되었다. 문제를 해결하면서 메모리 포렌식을 공부하는데 감을 잡을 수 있으며, 전반적인 도움이 될 것 같다. ws1004-4n6.notion.site ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
HDCON Track 1 write up (1) 사건의 원인? 첨부된 vmware 파일을 열어서 확인해 보면 default 경로에 아래와 같이 숨겨진 파일들이 엄청 많은 것을 확인 할 수 있다. 이런 파일 중에서 .viminfo 파일이 눈에 보입니다. .viminfo 파일이란 vim을 사용했을때 작성되는 일종의 log 파일을 의미합니다. 해당 파일에는 vim 을이용해서 수정하고 작업을 했던 파일의 로그 파일 형식처럼 작성이 됩니다. 해당 파일을 열어보면 매우 방대한 내용이 들어있습니다. 여기에 적혀있는 파일들을 정리해 보면 아래와 같습니다. 위의 경로를 확인해 본 결과 /root/ 는 접근이 불가능 했고, /var/www/html/test.html 파일은 존재 하지 않았다. wordpress 와 관련 있는 파일들을 자세히 봐야 할것 같다. 그중..
WhiteHat 2015 write up 1. 박부장 PC의 문서를 암호화한 랜섬웨어 파일은 무엇인가요?(전체 경로) 문제 파일을 받아서 압축을 해제해 보면 DISKDUMP.vmdk 파일과 MEMDUMP 파일이 존재 합니다. 메모리 덤프 파일을 통해서 프로세스를 좀 확인해 보겠습니다. profile이 Win7SP0x64을 사용하면 될 것 같습니다. 프로세스 및 하위 프로세스를 확인하기 위해서 여러 프로세스 플러그인 중에서 pstree를 사용해 보겠습니다. 위의 프로세스 트리를 확인해 보면 아래와 같다는 것을 알 수 있습니다. explorer.exe └ iexplore.exe └━ Hwp.exe └━━ temp.exe └━━━ cmd.exe └━━━━ OfficeHelp.exe 인터넷 익스프로러 하위에 Hwp.exe 라는 프로세스가 돌고 있습니다..