본문 바로가기

2019.07.24 18:24
SUNINATAS-FORENSIC(30) 써니나타스 포렌식 30번 ! memory analysis 문제이다.분석은 volatility를 사용했다. volatility 기본 커맨드 사용형태는 아래와 같다.-f 'memoryfile' --profile=os 제일 먼저 덤프파일의 이미지 정보를 분석한다.여기서는 os의 정보를 확인 할 수 있다. 이제 ip주소를 확인해야한다. netscan명령어로 네트워크 기록을 확인한다. local address 의 ip 192.18.197.138이 PC의 ip임을 확인할 수 있다.(왼쪽 Local Address / 오른쪽 Foreign Address) filescan명령어를 이용해 파일을 스캔하여 filescan.elf 파일로 저장했다. 기밀문서가 될 수 있는 파일의 확장자를 하나씩 검색해보았다. (hwp, doc..
2019.07.06 17:19
SUNINATAS-FORENSIC ... 눈 많이 쓰지 말라고 해서 엄청 쉬엄쉬엄 풀었다. 그래도 수술전에 올클 할 수 있을 줄 알았는데 PDF + 메모리 포렌식 잘 몰라서 못풀었다ㅠㅠ 개강 전에 다 파란 색으로 만들어야지└00┘
2019.06.28 12:48
Hackigcamp CTF_2019 ...Hackingcamp CTF2019 드라이브에 총 파일이 5개 존재하는데 분할 압축되어 있기 때문에 모두 다운 받아야 한다.압축을 풀고 바로 FTK로 디스크 파일을 분석 했다. 파티션이 2개 존재하지만 하나는 열리지 않는다. 하지만 문제 푸는데 지장은 없다.총 다섯개의 계정이 존재하는데 이 중 문제에서 찾고자 하는 계정을 찾기 위해 계정 하나 하나를 분석 했다. 그중 Waterman 계정의 history파일에서 수상한 파일을 실행 시킨 흔적을 찾을 수 있었다.실행 시킨 파일은 아래 사진의 ....폴더에 존재한다. 파일의 접근 변경 시간은 파일 추출을 한 후 속성에서 찾을 수도 있고, 아래와 같이 FTK에서 바로 찾을 수도있다.단, FTK는 UTC +0을 기준으로 하기때문에 +9시간 해준 값을 답으로..
2019.06.27 17:25
HARD_DISK 구조 클러스터 데이터 입-출력 단위 / 여러개의 섹터를 묶은 것 슬랙공간 논리적 물리적 크기 차이로 인해 발생한 낭비되는 공간 RAM Slack, File Slack, Volume Slack, File System Slack 으로 나누어진다. 주소지정방식 CHS / LBA 방식으로 나눈다. 현재는 LBA만 다룬다. ↓ LBA 주소지정방식의 실제 하드디스크 구조 MBR (Master Boot Record) Boot Code : 부팅과 관련된 코드를 담고있음부팅 가능한 시스템에 대한 Boot Code 영역은 모두 같다. Partition table : 파티션에 대한 정보를 담고있는 영역으로 총 4개의 파티션 정보를 저장할 수 있다. Signature : 55 AA Partition Table offset mean..
2019.06.27 17:21
File_signatures Header Signature (Hex) File type FF D8 FF E1 JPG FF D8 FF FE 00 JPEG 25 50 44 46 2D 31 2E PDF 89 50 4E 47 0D 0A 1A 0A PNG 50 4B 03 04 14 00 06 00 DOCK 49 44 33 03 MP3 47 49 46 38 GIF 21 3C 61 72 63 68 3E 0A LNK 2A 2A 2A 20 20 49 6E 73 LOG 5B 33 2F 31 32 2F 32 30 BAK 52 61 72 21 RAR 50 4B 03 04 ZIP 37 7A BC AF 27 1C 7Z FD 37 7A 58 5A XZ 1F 8B TAR / TGZ (linux) 1F 8B 08 GZ (linux) 00 00 00 00 00 0..