digitalforensic6 [suninatas] Forensic 30 먼저 이 문제를 풀 도구로 Volatility를 사용하기로 했다. 먼저 imageinfo로 확인해주자 Win7SP1x86임을 확인했다. 이제 먼저 1번 답인 김장군 PC의 IP 주소를 알아내기 위해 netscan으로 알아보자 열면 이렇게 많은 내용들이 나오는데 밑으로 내려보면 김장군 PC의 IP 주소는 192.168.197.138임을 알 수 있다. 이제 2번 답을 알아보자 해커가 열람한 기밀 문서의 파일 명을 알아봐야 하는데 해커가 실행한 프로세스를 확인하기 위해 pstree를 이용해서 알아보자 초반에 cmd가 켜지고 notepad가 열린 것을 확인할 수 있는데 음.. 일단 볼라틸리티에 cmdscan 이라고 cmd에 내린 명령을 확인할 수 있는 플러그인이 있으니까 한번 해보자 그러면 누가봐도 의심되는 파.. 2020. 12. 1. one_data_one_zip 문제 파일을 열어보면 확장자가 pcapng 인 파일 하나를 얻을 수 있다. 바로 pcap 파일로 변환시켜주자 그리고 wire shark로 열어주면 FTP 천국이다. FTP는 파일 전송 프로토콜인데 그럼 무슨 파일을 전송했는지 보면 flag를 얻을 수 있을 것 같다. Follow TCP Stream 해보니까 저기 flag zip파일이 하나 보였다. 통신으로 주고 받은 파일은 저 flag.zip파일 하나로 보인다. FTP로 전달한 내용을 받기 위해서 ftp-data로 검색해서 follow TCP stream 을 하면 이런 창이 뜨는데 Show and save data as 를 Raw로 선택해주어야 한다. 그리고 Save as를 해서 확장자 zip 파일을 해줬는데 위 사진에서도 볼 수 있듯이 zip 파일 시그.. 2020. 11. 24. [SWING 내부 CTF] FS_BreakUp 이 문제도 앞에 풀었던 OurImportantMemories에 첨부된 파일을 사용하는 문제인데, 그 문제에 사용했던 파일을 사용하는 건 아니다. 사용하지 않았던 3번째 파일을 사용할 건데 FTK imager로 열어봤더니 오류가 난다. 뭐지 싶어서 HxD로 파일 내부를 살펴보았다. 그랬더니 원래 ntfs가 아니라 NTFS로 되어있어야 하는데 그 부분이 잘못 적혀있었다. 그래서 제대로 바꿔주고 FTK imager로 다시 열어보면 누가봐도 중요할 것 같은 important.zip파일이 있다. 이 파일을 추출해주고 열어보면 안에 텍스트 파일에 뭐가 적혀있다. 이거를 디코딩하면 될 것 같아서 넣어보니 Flag를 찾을 수 있었다. 성공! 출제 : N0Named 해킹팀 2020. 9. 20. [SWING 내부 CTF] baby_stego 문제 제목을 보면 baby_stego인데 포렌식 도구 중에 openstego를 사용하면 될 것 같다는 생각이 먼저 들었다. 근데 일단 문제 파일에 가보면 zip파일에 flag.png파일이 떡하니 있었는데 다운받아보았다. 근데 압축해제가 안됐다. 그래서 다운받은 zip 파일을 HxD로 확인해보니 헤더 시그니처가 올바르지 않았다. 그래서 올바르게 고쳐주고, 저장해주었더니 flag.png 파일이 보였다. 근데 그 이미지 파일을 열어보면 열리지만 이렇게 내용이 보이지 않았다. 뭐지 왜 안보이지 싶어서 HxD로 png 파일을 열어보았다. 헤더 시그니처, 푸터 시그니처도 올바르고 어떤 문제인지 모르겠어서 구글링을 통해 png 파일 구조를 살펴보았다. https://ryanking13.github.io/2018/03.. 2020. 8. 31. 이전 1 2 다음 728x90