S.W.F.S.

6팀 최민영 CTF-d의 디스크 문제 윈도우 작업 관리자에서 우클릭...을 풀어보도록 하겠습니다. 문제를 다운 받아보니 압축파일이라 압축을 풀어주면 이러한 파일이 보입니다. 파일명이 RunMe이지만 불안하니 아직은 실행시키지 않겠습니다. 파일을 HxD 프로그램으로 열어보니 MDMP 파일인 것으로 확인되었습니다. MDMP 파일이란? 프로그램 오류 또는 충돌 후 Windows가 생성 한 압축 파일로 프로그램의 메모리 공간에서 "덤프 된"데이터를 포함한다. 참고 사이트: https://whatext.com/ko/mdmp 사이트에서 확인해보니 비주얼 스튜디오로 열 수 있다고 하여 비주얼 스튜디오로 열어주겠습니다. 비주얼 스튜디오로 열어보니 해당 덤프 파일의 요약 정보만 나와 있지 별다른 내용은 찾을 수 없었습니..

6팀 최민영 CTF-d의 오른쪽 우의 표지판을 읽을 수... 문제 풀어보도록 하겠습니다. 문제 파일을 열어보니 도로 같이 보이는 사진이 흐리게 나와 있었습니다. 보니까 예전에 풀었던 문제랑 비슷한 것 같아 도구를 이용하여 사진의 초점을 다시 맞춰주겠습니다. 사용한 도구: SmartDeblur http://smartdeblur.net/download.html SmartDeblur - Download smartdeblur.net 도구를 사용하여 사진을 열어보겠습니다. Defect Type을 Auto에서 Out of Focus로 변경해준 뒤 선명한 결과가 나올 때까지 조절을 해보겠습니다. Radius를 20.3정도로 맞춰주고 아래 Post-processing options을 각 맨 왼쪽으로 맞춰주면 화면과 같..

6팀 최민영 CTF-d의 Disk 문제 이 편리한 안드로이드...를 풀어보도록 하겠습니다. 문제에서 제공하는 파일은 .apk 파일입니다. apk를 분석하는 프로그램이 따로 있나 찾아보다 apktool이 있다는 것을 알고 다운을 받아주었습니다. https://ibotpeaches.github.io/Apktool/install/ //여기서 apktool이란? 안드로이드 애플리케이션 대상의 리버스 엔지니어링 도구로 APK 파일을 분석하고 리소스를 뽑아낼 수 있으며(디코딩) 코드를 재수정하여 다시 재빌드(rebuild)할 수 있다. 실제로 XML, 이미지 파일, .dex 파일을 포함하여 안드로이드앱의 주요 소스를 뽑기 위해 가장 많이 사용되고 있다. 참고링크: https://ndb796.tistory.com/4..

6팀 최민영 CTF-d의 Listen Carefully!! 문제 풀이 시작하겠습니다. 문제 파일을 열어보니 프랑스어 인지 누군가 말하고 있는 음원이 있었습니다. 이를 다운받아 보니 .flac라는 확장자 명으로 다운이 된 것을 확인할 수 있었고 음원 관련 문제이다 보니 'Audacity' 프로그램을 통해 이 음원 파일을 열어보겠습니다. 예전에 사요나라가 남긴 흔적?이라는 문제를 푼 적 있는데 비슷한 유형의 문제인 것 같아 (흥미였다...) https://swfs-swuforensics.tistory.com/534 [CTF-d] sayonara-bye가 남긴 흥미… 4팀 최민영 sayonara-bye가 남긴 흥미...를 풀어보도록 하겠습니다. 문제의 파일을 다운 받아 보니 이상한 바람소리와 함께 작은 말소리..

6팀 최민영 CTF-d 의 우리는 이 파일에 플래그를... 문제 풀이 시작하겠습니다. 문제에서 플래그를 파일에 넣고 오는 길에 엉망이 되었다고 해서 확장자 명이 바뀐거나 스테가노 문제일줄 알았는데 이 파일은 확장자 명이 없다. 그래도 HxD를 통해 시그니처를 알면 어떠한 확장자 명의 파일인지 알 수 있을 것 같아 보니 00~04 부분이 1F 8B 08 08 이다. 이와 관련된 확장자명이 있나 찾아보니 (참고) http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com GZ라는 파일의 시그니처 값인 것을 알 수 있었다. 이를 파일에 적용 시켜보면 라즈베리 모양의 아이콘..

6팀 최민영 Suninatas forensic 30번 문제 풀이 시작 문제 파일을 다운받으니 .dat 파일이 존재하여 volatility를 사용하여 문제를 풀어보겠다. (Window 10에서 Volatility 사용) - Volatility 명령어 참고 글 - https://schmidtiana95.tistory.com/entry/Volatility Volatility 플러그인 볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습 schmidtiana95.tistory.com volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaT..

6팀 최민영 CTF-d의 모두 비밀번호를 txt파일...문제 풀이를 시작하겠습니다. 파일은 word로 열리는데 이게 깨진 건가 싶어 rtf 파일이 무엇인지 찾아보니 그냥 글꼴도 저장해둔 파일이라고 한다. 즉, 이 내용은 깨진 파일이 아니고 진짜 이 내용의 파일인 것이다. 자세히 보다가 무언가 Hex코드와 유사하다고 생각되었다. 또한 번호의 앞 부분이 PNG 파일의 시그니처 숫자와 동일하여 \와 '기호를 없애주고 PNG 파일로 만들어 줘 보겠다. 메모장의 바꾸기 기능을 이용하여 \은 없애주고 '은 공백으로 남긴 뒤 Hex 프로그램에 붙여넣기 해주었다. 사진을 열어보니 호머 심슨 그림이 있었고, 이에 대해 무언가 숨겨져 있는건가 싶어 사이트를 이용해 명도와 채도를 살펴보았다. 찾아보았지만 별다른 문제는 없어..

6팀 최민영 CTF-d 의 '이 파일에서 플래그를 찾아라!' 문제 풀이 시작하겠습니다. 파일안에 있는 Zip 파일을 열어보자 해당 이미지 파일이 나왔습니다. 한가지 이상한 점은 PNG 파일치고 용량이 너무 크다는 점 입니다. 이러한 경우는 2가지를 생각해 볼 수 있는데, 하나는 파일안에 또 다른 파일이 숨겨져 있거나 아니면 사진의 가로 세로 크기가 엄청 크거나를 의미합니다. 저는 이 파일의 가로 세로 크기에 대해서 먼저 진행해 보겠습니다. 파일의 헤더 시그니처 부분이 파일의 사진 크기를 정해주는데, 이를 변경해 보겠습니다. 가로 크기를 '00 00 0B D0' 에서 '00 00 1B D0'으로 변경해주고, 세로 크기를 '00 00 0F C0' 에서 '00 00 1F C0'으로 변경해 준 뒤 저장해보겠습니..