본문 바로가기

전체 글218

[Windows Forensic Artifacts - 1] Event Log 윈도우 아티팩트들에 대해 차례대로 정리해보려고 한다. 아티팩트는 소프트웨어가 동작하면서 자동으로 생성한 흔적을 표현하기 위한 용어이다. 쉽게 흔적이라고 생각하면 된다. 윈도우 아티팩트는 윈도우 운영체제에서 소프트웨어들이 동작하면서 남긴 흔적들을 의미한다. 첫 스타트는 이벤트 로그인데, 이벤트 로그가 무엇인지 살펴보자. 윈도우 이벤트 로그 - 윈도우 시스템이 동작하는 과정에서 발생하는 특정 이벤트들을 종합적이고 체계적으로 로그 기록 [시스템의 성능, 오류, 경고 및 운용정보 등의 중요정보 기록 - 침해사고 대응에 더 유용] - 대부분의 기록을 담당 [시스템 on/off, 원격 네트워크 연결, 응용 프로그램 동작 여부, 시스템 관련 전반적인 모든 것] - 기록된 로그들은 각각 이벤트 ID 할당 [이벤트 ID.. 2022. 4. 1.
[crescendo] Event Log Problem 01 도메인 컨트롤러가 침해당했고, Security 이벤트 로그를 통해 정보를 확인하라고 한다. 이벤트 로그는 더블클릭하면 이벤트 뷰어로 열리게 된다. 1번부터 순서대로 살펴보자. 가장 먼저 사용된 일반 사용자 계정의 이름을 구하라고 한다. 이벤트 로그에서 기록된 로그들은 각각 이벤트 ID를 할당받기 때문에 일반 사용자 계정 생성의 이벤트 ID를 찾아보자. ID가 4720임을 확인할 수 있다. ID를 아니까 현재 로그 필터링을 통해 필터링을 해보자 가장 먼저 생성된 것을 확인하면 되므로 두번째 이벤트 로그의 계정 이름을 확인해준다. 그럼 1번의 답은 JDazz인 것을 확인할 수 있다. 2번은 해당 일반 사용자 계정의 생성 시점을 구하라고 한다. 포맷은 YYYY-MM-DD hh:mm:ss (UTC+9 24hou.. 2022. 3. 31.
[crescendo] LNK Problem 01 문제 텍스트 파일은 다음과 같다. 이동식 디스크에 저장된 원본 파일 이름을 구하라고 한다. 무슨 의미인지 잘 모르겠지만,, 일단 바로가기 파일을 잘 모르기 때문에 무엇인지 한번 짚고 넘어가자 LNK 파일 링크 파일로, 바로가기 경로를 지정하여 특정 프로그램 또는 파일을 실행할 수 있다. 010 Editor 템플릿을 이용해 LNK 파일 분석이 가능하다. LNK 파일 포맷은 크게 아래 5가지 부분으로 구성된다. ShellLinkHeader LinkTargetIDList LinkInfo StringData ExtraData -> 포렌식적으로 의미있는 정보를 저장한 구조는 ShellLinkHeader와 LinkInfo 구조이다. ShellLinkHeader : 기본적인 헤더로 식별 정보, 시간 정보, 대상 파일.. 2022. 3. 26.
[ctf-d] woodstock-1 네트워크 패킷 파일이 첨부되어 있다. wireshark로 열어보자. TCP 프로토콜이 캡쳐되어있다. 우클릭을 통해 Follow - TCP Stream을 해주었다. 내용을 볼 수 있었는데 중간에 BITSCTF로 flag 값으로 추정되는 문자열을 찾을 수 있다. 그 문자열이 바로 flag였다. 성공 ~ 2022. 3. 15.
포렌식 공부를 하는 이유 보호되어 있는 글 입니다. 2022. 3. 13.
[ctf-d] 파일에서 플래그를 찾아라 디스크 문제여서 바로 ftk에 첨부파일을 넣어보았다. 근데 실패했다. 보니까 파일에 확장자도 없길래 HxD에 넣어봐야겠다. 헥스 값을 봤는데 시그니처를 잘 모르겠어서 구글링해보았다. 그랬더니 XZ 파일이라고 한다. 그래서 확장자를 XZ로 바꿔주었더니 반디집으로 열렸다. 근데 내부에 또 파일이 있어서 열어보니 메모장으로 이렇게 깨져있었다. 보니까 저 파일도 확장자가 없어서 HxD에 넣어봐야겠다. 헥스 값을 구글링해보니까 7z파일이라고 한다. 수정해서 열어보자 그랬더니 파일이 되게 많이 나왔다. 근데 파일을 잘 보면 013.7z파일이 다른 파일들과 다른 크기로 압축이 되어있는 것을 알 수 있다. 이거를 열어보자 그랬더니 또 파일들이 나왔는데 압축크기가 다른 한 파일을 계속 선택하기로 했다. 계속 열었더니 결.. 2022. 3. 11.
728x90