디지털 포렌식(Digital Forensics)/CTF(ctf-d.com)24 [Multimedia] Find Key(butterfly) 오랜만에 멀티미디어 문제를 풀어볼 것이다. 이번 문제는 간단하니 열 식힐 겸 풀어보도록 하자! 문제 설명은 하나도 없이 나비.png 파일만 하나 주어진다. 열어보면 정말 꼴과 나비 사진 하나 나와있다. HxD로 열어보아도 굳이 도움될 만한 건덕지는 찾지 못했다. 29a.ch/photo-forensics/#pca29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extract.. 2020. 9. 14. [Memory] GrrCON 2015 #7 문제에서 '멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.' 라고 되어있는데, 이는 멀웨어 뮤텍스(Malware Mutex) 라고도 한다. cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects Malware: Exploring mutex objects A mutex, also called a lock is a program object commonly used to avoid simultaneous access to a resource, such a variable. It’s used in concurrent programming to allow multiple program th.. 2020. 9. 14. [Network] DefCoN#21 #8 오늘은 DefCoN#21 #8 문제를 풀어보도록 한다! 그레고리를 죽인 사람을 찾는 게 이번 문제다. 와이어샤크를 이용해 파일을 열어준다. 내용을 쭉 확인하다보면 어느순간부터 RTP 프로토콜을 이용한 내용들만 보이기 시작한다. RTP 프로토콜은 Real-time Transport Protocol의 약자로, 실시간 전송 프로토콜을 의미한다. IP 네트워크 상에서 오디오와 비디오를 전달하기 위한 통신 프로토콜이라고 할 수 있다. 전화, TV, 화상 통화 등의 스트리밍 수반 통신을 할 때 사용되는 프로토콜이다. RTP Streams는 상단의 Telephony -> RTP -> RTP Streams를 통해 볼 수 있다. RTP Streams를 키면 위와 같은 화면이 나온다. 모든 항목을 클릭해서 선택해준 뒤, .. 2020. 8. 29. [Memory] GrrCon 2015 #6 이번 문제는 비밀번호를 찾는 문제다. vmss 파일을 덤프파일을 만들어서 내용을 확인해보려고 한다. memdump 명령어를 이용해서 메모리 덤프를 떠주었다. strings.exe를 통해 dmp 파일을 보기에 편리한 txt 파일로 변환해 주었다. 이전 문제에서 찾았던 MrRobot 의 실행후에 비밀번호 입력을 했을 것이기 때문에 MrRobot 아래에서 내용을 확인해보았다. 비밀번호 형식으로 대소문자영문으로 되어있는 것을 찾아보면 Xtreme과 GrrCon2015가 나온다. 여기에서 Xtrem은 악성코드의 이름이기 때문에 GrrCon2015를 입력해보도록 한다. 정답은 GrrCon2015 2020. 8. 24. [Memory] GrrCON 2015 #5 윈도우의 Run 레지스트리에 키에 있는 값(레지스트리는 키와 값이라는 두가지 요소를 포함하고 있음)들은 항상 값이 유지가 되는 값이다. 즉, 문제에서 말하는 '재부팅 후에도 지속성을 유지' 하는 레지스트리 키는 Run 레지스트리에 저장이 되어 있는 것이다. 볼라틸리티를 이용해 레지스트리 값을 확인해보도록 하자! printkey 명령어는 레지스트리 키의 서브키와 값을 출력해주는 명령어다. -K 옵션은 경로를 입력하면 해당 레지스트리에 관련한 정보를 가져오는 옵션이고, -o 옵션은 가상주소를 입력하면 특정 하이브에 대해서만 탐색해주는 옵션이다. ex) vol.py -f "D:\CTF-d 문제\Target1-1dd8701f.vmss" --profile=Win7SP1x86 printkey -K "Microsof.. 2020. 8. 24. [Network] DefCoN#21 #6 오늘의 문제는 악성 페이로드의 용량을 찾는 문제이다. 제일 먼저 round6.pcap 을 와이어샤크에서 열어봤지만 별다른 수확물이 없었다. 그러니 Networkminer.exe를 사용해보자! ※ 페이로드 (payload) : 사용에 있어서 전송되는 데이터로, 보안 분야에서는 멀웨어의 일부를 뜻한다. 우리는 전송된 데이터 중 멀웨어를 찾아야 한다. NetworkMiner에서 이 파일을 연 뒤, Files에 들어가면 6개의 파일이 전송되었다는 것을 알 수 있다. Extension을 보면 4개는 cer 이라고 표시되어 있는데, cer은 SSL 인증서의 파일 포맷 종류이다. 맨 아래의 favicon.ico에서 ico는 아이콘 파일임을 의미한다. 총 6개의 파일 중 5개의 파일들이 인증서와 관련된 파일들로, 우클.. 2020. 8. 1. 이전 1 2 3 4 다음
