본문 바로가기

Security/CTF

Security/CTF 2019. 7. 24. SUNINATAS-FORENSIC(30) 써니나타스 포렌식 30번 ! memory analysis 문제이다. 분석은 volatility를 사용했다. volatility 기본 커맨드 사용형태는 아래와 같다. -f 'memoryfile' --profile=os 제일 먼저 덤프파일의 이미지 정보를 분석한다. 여기서는 os의 정보를 확인 할 수 있다. 이제 ip주소를 확인해야한다. netscan명령어로 네트워크 기록을 확인한다. local address 의 ip 192.18.197.138이 PC의 ip임을 확인할 수 있다. (왼쪽 Local Address / 오른쪽 Foreign Address) filescan명령어를 이용해 파일을 스캔하여 filescan.elf 파일로 저장했다. 기밀문서가 될 수 있는 파일의 확장자를 하나씩 검색해보았다. (hwp,..
Security/CTF 2019. 7. 6. SUNINATAS-FORENSIC . . . 눈 많이 쓰지 말라고 해서 엄청 쉬엄쉬엄 풀었다. 그래도 수술전에 올클 할 수 있을 줄 알았는데 PDF + 메모리 포렌식 잘 몰라서 못풀었다ㅠㅠ 개강 전에 다 파란 색으로 만들어야지└00┘
Security/CTF 2019. 6. 28. Hackigcamp CTF_2019 ...Hackingcamp CTF2019 드라이브에 총 파일이 5개 존재하는데 분할 압축되어 있기 때문에 모두 다운 받아야 한다.압축을 풀고 바로 FTK로 디스크 파일을 분석 했다. 파티션이 2개 존재하지만 하나는 열리지 않는다. 하지만 문제 푸는데 지장은 없다.총 다섯개의 계정이 존재하는데 이 중 문제에서 찾고자 하는 계정을 찾기 위해 계정 하나 하나를 분석 했다. 그중 Waterman 계정의 history파일에서 수상한 파일을 실행 시킨 흔적을 찾을 수 있었다.실행 시킨 파일은 아래 사진의 ....폴더에 존재한다. 파일의 접근 변경 시간은 파일 추출을 한 후 속성에서 찾을 수도 있고, 아래와 같이 FTK에서 바로 찾을 수도있다.단, FTK는 UTC +0을 기준으로 하기때문에 +9시간 해준 값을 답으로..