분류 전체보기
-
0608 SuNiNaTaS 포렌식-18번 문제2020/Write-Ups 2020. 6. 7. 16:04
화요일팀 손현지 18번 문제를 풀어보도록 하자. 숫자를 보면 아스키코드값으로 추정이 된다. 온라인 컴파일러로 자바코드를 짜서 변환을 해보도록 한다. 숫자들을 배열에 넣고, 배열 길이만큼 변환시키도록 코드를 짰다. 그 결과 VG9kYXkgaXMgYSBnb29kIGRheS4gVGhlIEF1dGhLZXkgaXMgVmVyeVZlcnlUb25nVG9uZ0d1cmkh 가 나왔는데 이것을 한번 더 변형시켜야 할 것 같다. 이것을 Base 64 디코딩 사이트를 이용해 디코딩 했다. 답이 VeryVeryTongTongGuri!임을 알 수 있다. 참고 ) m.blog.naver.com/PostView.nhn?blogId=sianux1209&logNo=220440411632&proxyReferer=http:%2F%2Fwww..
-
0608 [XCZ] PROB272020/Write-Ups 2020. 6. 7. 08:11
목요일팀 김지원 회사 기밀문서를 유출한 해커의 증거를 잡는 문제이다. '외부로 유출하는 과정 중 발각' 되었다는 것에 중점을 두고 살펴보기로 했다. .7z가 어떤 확장자인지 알기 위해 검색해보았더니 압축 파일 종류 중 하나였다. 압축을 해제하기 위해서는 프로그램 설치가 필요했다. https://www.7-zip.org/download.html Download Download .7z Any / x86 / x64 LZMA SDK: (C, C++, C#, Java) www.7-zip.org 위 링크에서 프로그램을 다운받은 뒤 해당 파일의 압축을 해제시켰다. 증거를 추려내기 위해서 필요없는 캐시파일이나 빈 파일은 삭제했다. Outlook을 검색해보니 마이크로소프트사에서 지원하는 무료 이메일 서비스의 이름이었다...
-
0608 Suninatas Forensic 21번2020/Write-Ups 2020. 6. 6. 20:18
수요일 팀 박민진 사진만 보이고 아무것도 없어서 우선 사진파일을 다운받았다. 사진파일 형식은 jpg였고 용량이 1.4MB여서 이미지 파일 하나의 용량 치고는 너무 크다 싶어서 헥스에디터에 넣어보았다. 헥스에디터는 이곳에서 다운받을 수 있다. https://mh-nexus.de/en/downloads.php?product=HxD20 Downloads | mh-nexus Downloads Note: Starting with HxD 2.3, the portable edition is available as separate setup program, and can be run with minimal privileges (no admin rights required). For the portable edition..
-
0608 [DigitalForensic] with CTF - 내 친구는 이것이 특별한 것이라며 CTF 전에 사진을 보냈다. 이 문제의 KEY format은 flag{(key)}가 아니다.2020/Write-Ups 2020. 6. 6. 15:39
화요일팀 박상은 http://www.ctf-d.com/challenges#%EB%82%B4%20%EC%B9%9C%EA%B5%AC%EB%8A%94%20%EC%9D%B4%EA%B2%83%EC%9D%B4%20%ED%8A%B9%EB%B3%84%ED%95%9C... [DigitalForensic] with CTF www.ctf-d.com jpg파일이 있다 해당 사진을 다운받아보았다 속성에 들어가 둘러보다가 이상한것이 보였다 h1d1ng_in_4lm0st_pla1n_sigh7 을 적어보았는데 맞았다! 생각보다 문제를 풀수있는 쉬운방법이 존재한다
-
0608 써니나타스: 포렌식 15 &192020/Write-Ups 2020. 6. 6. 13:46
S.W.F.S 디지털 포렌식> 이수현 (목요일팀) 15 지휘자 태그의 메시지가 인증키: GoodJobMetaTagSearh 속성을 살펴보자 GoodJobMetaTagSearh 이라는 문장이 지휘자 태그 메시지였고 이것이 인증키였다. 19 Binary to string이란? 이진법으로 보이는 숫자배열을 입력하면 문자열로 바꾸어주는 것으로 구글을 이용하면 변환해주는 사이트를 접할 수 있다. (위의 사진 처럼 2진수 숫자배열을 입력하면 아래와 같이 문자열로 바꾸어준다.) 변환된 문자열: NVCTFDV KF JLEZERKRJ REU KFURP ZJ R XFFU URP REU RLKYBVP ZJ GCRZUTKWZJMVIPYRIU 이렇게 의미 없는 문자열이 나오는데 이는 인증키도 아니기 때문에 치환형 암호를 생각하..
-
0608 [XCZ] PROB222020/Write-Ups 2020. 6. 6. 04:20
목요일팀 김지원 길에서 주운 노트북의 주인을 찾아주는 문제이다. 인증키 형식인 '출발지_거쳐가는곳_최종도착지' 를 보니, 위치 정보를 파악해야겠다는 생각이 들었다. 사진에는 잘렸지만 아래에 관련 파일을 다운로드 받을 수 있는 링크가 있다. 파일을 먼저 다운 받았다. notebook이라는 이름은 있지만 확장자를 알 수가 없는 상태이다. 확장자를 파악하기 위해 HxD 프로그램을 실행시켰다. 익숙한 .png나 .jpg 형식이 아님을 알 수가 있다. Decoded text 에 'ADSEGMENTEDFILE'라고 써있는 걸 확인할 수 있는데, 검색을 해보니 'Access Data' 에서 제공하는 'FTK imager' 으로 한 디스크 덤프 작업에서 확장자를 AD1로 지정해주면 생기는 파일이라고 한다. (디스크 덤..