디지털 포렌식(Digital Forensics)/CTF(ctf-d.com)24 [Memory] GrrCON 2015 #3 오늘의 문제는 사용된 악성코드의 이름을 찾아야한다. https://liz09045.tistory.com/27?category=787258 [Memory] GrrCON 2015 #2 오늘의 문제는 이메일로 첨부해서 보낸 파일의 이름은 무엇인지 찾는 문제다. GrrCON 2015 #1 문제의 연장선이다. https://liz09045.tistory.com/28 [Memory] GrrCON 2015 #1 이번 문제는 이메일을 보낸 전자 메.. liz09045.tistory.com 이전에 풀었던 GrrCON 2015 #2에서 공격자가 이메일을 통해 보낸 파일인 AnyConnectInstaller.exe 파일을 중점적으로 찾아보기로 한다. 모르는 분들은 위의 링크에서 이전 문제에 대한 내용을 확인하시면 됩니다! .. 2020. 7. 27. [Memory] GrrCON 2015 #2 오늘의 문제는 이메일로 첨부해서 보낸 파일의 이름은 무엇인지 찾는 문제다. GrrCON 2015 #1 문제의 연장선이다. https://liz09045.tistory.com/28 [Memory] GrrCON 2015 #1 이번 문제는 이메일을 보낸 전자 메일 주소를 찾는 문제이다. 문제에서 vmss 파일을 주었다. VMSS 파일은 가상 시스템(VM)이 일시 중지 된 상태인 경우, 소프트웨어가 자동적으로 일시적으로 중지된 liz09045.tistory.com GrrCON2015 #1 및 imageinfo, pslist, memdump, string,exe 관련 내용은 위 링크에서 확인하세요! 저번 글에서 한 것과 같이 imageinfo로 프로파일명을 확인한 뒤 명령을 실행한다. 문제에서 제시된 KEY Fo.. 2020. 7. 20. [Memory] GrrCON 2015 #1 이번 문제는 이메일을 보낸 전자 메일 주소를 찾는 문제이다. 문제에서 vmss 파일을 주었다. VMSS 파일은 가상 시스템(VM)이 일시 중지 된 상태인 경우, 소프트웨어가 자동적으로 일시적으로 중지된 상태를 저장하는 파일이다. VMSS파일은 VM이 중단 된 지점에서 VM을 다시 시작하는데 사용된다. https://blog.naver.com/i1004yu/221973880923 [Volatility] 윈도우에서 Volatility 2.6 설치 1. 파이썬 2.7x버전을 설치한다. (이 과정은 생략하겠다.)2. pycrypto-2.6을 설치한다.http://www.voidsp... blog.naver.com 이 파일을 분석하기 전에 볼라틸리티를 다운받아 준다. 볼라틸리티(Volatility)는 오픈 소스.. 2020. 7. 20. [Network] DefCoN#21 #5 오늘의 문제다. 이미 다 푼 상태에서 하는 말이지만 이번 문제 너무 현타와요... 문제에서 제시된 압축파일을 풀면 위와 같이 Dump 폴더와 log.txt 파일이 주어진다. Dump 폴더를 하나하나 분석해보았고, Cache 파일들은 우선 다 뛰어넘겼다. round5\Dump\mnt\sdcard 의 경로로 들어가면 pcap 파일이 있어 와이어샤크로 열어보았지만 그다지 좋은 결과물을 얻지는 못했다. \round5\Dump\HWUserData 의 pcap 파일들도 마찬가지다. 위 폴더에 들어가게 되면 다양한 사진들이 나오는데 여기서 나온 글자들을 다 입력해보았지만 실패했다. round5\Dump\mnt\sdcard\DCIM\Camera 경로로 들어가면 카메라로 찍은 걸로 유추되는 사진이 나온다. 쓰러져 있는 .. 2020. 7. 20. [Multimedia] splitted 오늘의 문제는 .7z 압축파일을 하나 주고 문제는 제곧내였다. 우선 압축파일을 다운받고 압축을 풀어주자. 압축을 풀어주고 나면 .pcap의 패킷캡처 파일이 하나 들어있었다. 1차로 와이어샤크를 이용해 안의 내용을 확인해보았다. 와이어샤크를 이용해 파일을 열어보면, flag.zip이라는 문구가 제일 눈에 띄고, GET 명령어를 이용해 flag.zip을 보낸 것을 확인할 수 있다. NetworkMiner 을 이용해 어떤 flag.zip 파일들이 오고 갔는지 확인해보앗다. 총 9개의 파일이 있었다. Reconstructed file path를 확인하면, 재구성된 파일들의 경로를 알 수 있다. 이 경로로 가서 zip파일을 확인해보자! 총 9개의 파일들을 하나씩 압축을 해제하려고 클릭하면, flag[8].zip을.. 2020. 7. 15. [Multimedia] 저희는 이 문서를 찾았습니다. 오늘의 문제는 .docx 파일 하나를 갖고 플래그를 찾는 문제다. word 파일을 열면 일부 콘텐츠를 읽을 수 없다는 경고 문구가 뜬다. 파일에 뭔가 변조가 있는 걸 인식하고 파일을 열어보았다. word 파일 내용에는 우리가 찾는 플래그가 아니라는 내용이 들어있었다. Multimedia 문제에서는 우선 헥스 에디터로 확인해보는게 1차인 것 같으므로 HxD를 이용해 파일을 열어보았다. 시그니처부터 확인을 하고 찬찬히 내용을 확인해보다가 저런 문구를 발견해 정답에 넣어보았다 중간에 flag.txt 에 대한 내용이 있어 의심해봤지만, this_would_be_the_flag_you_are_looking_for 이 정답이었다. 이번 문제는 쉽게 넘어갔다 성공~~!! 2020. 7. 14. 이전 1 2 3 4 다음
