nop

keyword : chrome cookie 옵션값 분석 url : http://maj3sty.tistory.com/940 문제의 지문을 보면 위와 같다. 대충 보면 IU는 감염된 시스템을 분석하는데 감염경로는 web으로 추측이 되며, 감염 url이 감염과 동시에 지워진 것으로 생각된다고 한다. 해서, 감염 URL과 감염된 시간을 구해야 하는 문제이다. 제공되는 파일은 100, 200점과 동일하게 Users하위이다. 대신 Proneer계정 하나와 Local, Chrome의 cookie정보만 주어진다. sqlite파일이며 이를 열어보면 다음과 같다. 여러 url이 있는데 그 중 의심스러운 URL은 다음과 같이 압축하였다. forensic-proof.com 문제 출제자의 사이트 이므로, 본인 URL을 이용하여..

keyword : MFT분석, analyzeMFT 사용, R-Studio url : http://maj3sty.tistory.com/943 문제 지문은 위와 같다. 요약을 하면 어떤 에너지 관리 시스템이 정교한 APT공격을 6달동안 받아, 기밀사항이 유출되었다고 한다. 해커는 공격 흔적을 최대한 지워 대부분의 데이터를 찾기 어렵다고 하지만 분석가 IU가 MFT쪽에서 어떠한 흔적을 찾아 냈다고 한다. 이 정보를 기반으로 악성 프로그램이 생성된 시간을 찾아내면 된다. 제공되는 파일은 MFT파일 하나인데 MFT분석용 프로그램은 analyzeMFT가 제일 유명하다. 파이썬 형태로 사용할 수 있다. 이전에 NTFS공부를 하며 만들다가 만 소스코드를 사용해 보았더니 파일 이름은 잘 나왔다. 나머지 부분은 아직 미흡..

keyword : EVF 파일 분석, GPT파티션 분석 url : http://maj3sty.tistory.com/944 https://eindbazen.net/2012/02/codegate-2012-%E2%80%93-forensics-500/ 지문은 이전 문제에 비하면 상당히 간단하다. 그냥 디스크 정보, GUID등을 확인하라고 한다. 하지만 제공되는 파일이 EVF파일이다. EVF 파일이란 Encase에서 사용하는 파일 포맷이라고 한다. Encase를 보유하고 있을리 없기 때문에 직접 이 파일 포맷에 맞추어 분석을 해야 한다. EVF를 이해할 겸 파싱 소스코드를 파이썬으로 작성하였다. 파일 포맷정보는 위키를 참조하였다. 사용법은 위와 같다. EVF에는 header, volume, sector등의 중간 ..

Keyword : zip 파일 복구 파일이 하나 주어진다. hxd로 열어보면 위 같이 나오는데 51 4b 03 04 시그니쳐로 시작하는 프로그램은 없다. 단, 밑 부분을 보면 zip파일의 압축 시그니쳐인 PK(50 4b)를 확인할 수 있다. 즉, zip파일 이지만 일부가 깨져 있다는 것을 알 수 있다. 시작부의 QK는 PK로 변환하고 나머지 부분도 파일 헤더에 맞게 해주면 된다. zip 파일 구조의 경우 Local File header와 Central File header, End File header가 존재하는데 위에서 보면 End File header가 존재하지 않는다. 이를 고려하여 다시 작성을 해 주면된다. write up에서는 그 과정을 툴을 이용하여 풀었다. zipRepair라는 프로그램이다...

Keyword : 패킷 분석. 비트코인. url : https://galhacktictrendsetters.wordpress.com/2016/12/20/sharifctf-7-bsniff/ 패킷 분석 문제이다. 패킷량은 많은데 보내는 url은 blockchain.info에 보내는데 형태는 blockchain.info/q/addressbalance/주소?confirmations=6 형태이다. 패킷을 보았을 때 이 패킷 외에는 ssh로 통신하는 패킷이 있었으나, ssh는 키가 없어 암호화 해제가 불가능하기 때문에 blockchain.info에 보내는 주소에 답이 있지 않을까 싶어서 알아보았다. 먼저 주소를 모두 추출하여 보면 아래와 같이 나온다. 위 처럼 나오는데 주소를 아무거나 잡아서 blockchain.i..

Keyword : pdf 분석 url : https://github.com/irGeeks/ctf/tree/master/2016-SharifCTF7/Forensics/strange_pdf pdf 분석 문제이다. 원래 nurilab에서 공개한 pdfdot을 사용하려고 하였으나, 버전 문제로 인해 실행이 불가능 해서 직접 분석을 하였다. 먼저 pdf을 열어보면 다음과 같다. 가운데에 sharifctf라는 문구가 회전하며 들어가 있다. pdf의 경우 obj link list라고 이해하면 쉽다. 따라서 하나의 obj에 암호화된 데이터가 숨어 있다거나, obj link가 끊어진 obj에 숨겨진 데이터가 있을 가능성이 크다. 이번 문제의 경우 후자이다. obj link가 끊어진 obj가 다수 있었고, 이 obj들의 ..

Sharif 2016 - forensic 150 ref : https://github.com/spyoff/ctf-writeup/tree/master/sharifctf-2016/forensic-150-pretty-raw 문제는 바이너리 데이터 파일이 주어진다. 이미지 파일도 아니고 어떤 파일도 아니다. 파일을 훑어보면 png파일을 카빙할 수 있다. 이유는 모르겠으나 winhex에서는 카빙이 되지 않아 손으로 직접 카빙했다. 카빙된 이미지 파일은 다음과 같다. width = 1570, height = 74, bit depth = 8로 가로, 세로길이, bit depth를 하면 1570*74*8 => 116,180 bytes가 된다. 여기서 알아야 할 점은 주어진 바이너리 데이터가 png이미지의 바이너리 파일..

keyword : sqlite분석, plist분석 url : http://forensicinsight.org/wp-content/uploads/2013/03/F-INSIGHT-CodeGate-2013-Write-ups.pdf 내부문서를 외부로 업로드한 흔적을 발견 -> 스마트폰의 정보를 획득. 따라서 제공되는 파일은 스마트폰의 데이터 파일이다. 파일시스템은 NTFS이며 root하위를 보다보면 아래와 같은 경로를 확인할 수 있다. 외부로 업로드를 했다는 것은 일반 스마트폰 웹 브라우저로도 가능하지만, 특수 어플리케이션을 이용할 수 있다. dropbox는 유명한 웹 공유 프로그램이므로 이 dropbox를 대상으로 조사를 해 보면 된다. Documents\Dropbox.sqlite의 ZCASHEDFILE 테이..

keyword : ffmpeg mp4 frame 추출 url : https://github.com/irGeeks/ctf/tree/master/2016-SharifCTF7/Misc/lost_voice 문제는 mp3파일 하나가 주어진다. hxd로 열어보면 위와 같이 나오는데 ftypmp42를 구글에 검색을 해 보면 mp4타입인 것을 알 수 있다. 해서 mp4로 확장자를 변경하고 비디오를 실행시키면 백지에 flag값이 나온다. 여기에 mp3파일을 실행시키면 소리가 나온다. 단, 윈도우에서 제공하는 일반적인 player로 실행시키면 나오지 않는다. 처음에 그래서 사람 귀에 들리지 않는 주파수로 송출이 될 수 있다는 판단하에 goldwave로 하려고 했는데 writeup을 보니 비슷한 프로그램이 있어서 찾아 사용..

keyword : torrent 분석, bencode editor, 증거물 찾기 url : 아동 음란물에 대한 조사를 하라는 문제이다. 제공되는 파일은 NTFS파일이며, Users하위만 존재한다. 문제 출제를 위해 다른 부분은 제외 시킨 듯 하다. NTFS 전체를 주었으므로, 당연히 MFT도 있었다. 먼저 FTK로 열어 경로를 대충 훑어 보았을 때, Public계정의 Desktop폴더에 utorrent.lnk가 존재하는 것을 파악하였다. MFT Logfile을 분석 하였을 때, 어떠한 특정 영상 파일이 존재하지 않는 것으로 보았을 때, 문제 출제 시 영상 파일의 존재는 남기지 않은 듯 하였다. 다른 파일 공유 프로그램은 확인하지 못하였으므로, 웹 브라우저를 통한 음란물을 받았거나 utorrent을 이용하..