본문 바로가기

404

SLADUF

Notice

Recent Posts

Popular Posts

Recent Comments

Link

Calendar

Tags

더보기

Archives

2020/12 (2)
2020/09 (2)
2020/08 (2)
2020/05 (1)

Visits

659

Today: 0

Yesterday: 0

Security/디지털 포렌식 with CTF (book)

Security/디지털 포렌식 with CTF (book) 2019. 6. 28. 디지털 포렌식 with CTF -DISK(10) ... DISK FORENSIC10 증거 파일과 그 파일을 다운로드 했던 시간을 찾는 문제이다.문제 파일을 까보면 확장자가 나와있지 않다.HxD로 파일을 확인하면 512byte 영역 내의 2byte가 55 AA (MBR signature) 임을 보고 파일 시스템임을 알 수 있다. FTK로 열어 증거를 찾던 중 Administrator의 바탕화면에서 토렌트를 발견할 수 있었고,이를 통해 문제에서 말한 음란물을 접했다고 추측 할 수 있다. 토렌트에서는 settings.dat 파일에 정보를 저장한다.다운로드 경로를 확인하기 위해 이 파일을 분석 해야 한다. 토렌트의 settings.dat 전용 편집기인 BEncode Editor를 통해 분석 했다.다운로드 경로는 아래와 같다.C:\Users\CodeGate_F..

Security/디지털 포렌식 with CTF (book) 2019. 6. 28. 디지털 포렌식 with CTF -DISK(9) ... DISK FORENSIC 9 FTK로 증거물을 열어보니 root 폴더에 생소한 파일들이 여러개 있었다.하나씩 열어보니 app에 대한 정보들이 들어 있었다.내부문서를 외부로 업로드 했다고 하였으니 이러한 행위가 가능한 어플을 찾아야 한다. 폴더들을 하나씩 들어가보면 dropbox앱이 존재하는것을 확인할 수 있다.dropbox는 내부문서를 외부로 업로드 가능한 어플이므로 중심적으로 분석했다. 폴더를 하나하나 분석하다보면 스냅샷폴더가 있다.폴더 안에는 하나의 사진이 있는데 S-Companysecurity.pdf 라는 내부 비밀문서로 보이는 파일이 존재한다.이를 토대로 다시 분석을 진행한다. cache.db는 app 캐시 정보를 담고 있는 파일이다.이를 분석하여 증거를 찾아내보자 ! db분석을 통해 스냅..

Security/디지털 포렌식 with CTF (book) 2019. 6. 28. 디지털 포렌식 with CTF -DISK(8) ... DISK FORENSIC8 압축을 풀면 다음과같은 Users 폴더가 나타난다.사용자계정 폴더인 7ester을 조사해보도록 하겠다. 7ester\AppData\Local\Microsoft\Windows\WebCache경로로 들어가면 WebCacheV24.dat 파일이 존재하고 이를 통해 IE10버전을 쓰는것을 알 수 있다.그 외 별다른 브라우저의 캐시 내역은 찾지 못했다. IE10 information IE10로그 분석 툴로 위 파일에서 history로그를 분석 해보았다.www.hanrss.com 사이트를 가장 많이 방문했음을 눈으로 확인 할 수 있다.(외에 access count로도 확인 가능) 정확한 url은 다음과 같이 확인 가능하다. 마지막으로 접근한 시간은 AccessedTime을 오름차순..

Security/디지털 포렌식 with CTF (book) 2019. 6. 28. 디지털 포렌식 with CTF -DISK(7) ... DISK FORENSIC7 로그파일을 분석해서 총 3문제의 답을 찾는 문제이다.다운받은 파일에는 여러개의 폴더가 존재하고 폴더 안에는 갖가지 로그파일들이 존재한다.그럼 본격적으로 분석을 해보자 ! 로그파일 분석의 첫단계는 history 파일의 분석이라고 생각했다.그래서 가장 먼저 history 파일을 분석해 보았는데 14번째 줄에 폴더의 권한을 바꾼 흔적이 보인다.777은 파일접근권한을 모든 사용자에게 오픈하는 것이므로 아래 경로가 의심 스럽다. 경로를 복사해 다른 파일들에서 검색을 해보았더니 이미지 폴더에 php파일이 들어있으며 이름 또한 reverse이다.이것을 통해 웹페이지 소스코드를 유출한게 아닐까 생각해 아래의 전체 경로를 복사했다. 문제의 답을 찾기위해 복사한 경로를 사용하여 다른 폴더..

Security/디지털 포렌식 with CTF (book) 2019. 6. 28. 디지털포렌식 with CTF -DISK(6) ... DISK FORENSIC6슬랙 공간에서 key를 찾는 문제이다.what's the slack?슬랙 공간에 있는 key를 찾기 위해 포렌식 도구인 SleuthKit을 사용 할 수 있다.SleuthKit 의 blkls 명령어를 사용해 파일을 분석 할 수 있다.(옵션 -s는 슬랙 공간만을 출력 해주는 명령어이다.) 옵션을 주어 명령어를 입력하면 flag를 찾을 수 있는 아쥬 쉬운 문제였다.

Security/디지털 포렌식 with CTF (book) 2019. 6. 28. 디지털 포렌식 with CTF -DISK(5) ... DISK FORENSIC5 MFT 분석을 통해 공격 흔적을 찾는 문제이다. What's the MTF?다운받은 파일의 종류를 먼저 파악한다. 압축을 풀면 MFT 파일이 나온다.MFT파일 분석을 통해 공격자 흔적을 찾았으니 분석을 해보자!mft분석 툴을 다운받아 분석한 내용을 elf파일로 저장하였다. 악성파일은 여러 형태로 존재할 수 있다. 주로 실행 파일 형태로 저장되어 있는데나는 제일 흔한 형태인 exe로 밀어 보았다.(외에 pdf, xlsx. swf 등으로도 악성코드 주입이 가능하다) 그 중 휴지통에 존재하는 r32.exe파일을 발견했다.그 외에 수상한 파일이 존재하지 않는것으로 보아 이 악성파일로 답을 구할 수 있겠다. 문제에서 UTC+9 시간을 사용하므로 구한 시간에 +9하면 flag를 구..

이전 1 2 다음