본문 바로가기

디지털 포렌식(Digital Forensics)/CTF(ctf-d.com)24

[Network] DefCoN#21 #4 -실패 오늘의 문제다 https://www.netresec.com/?page=NetworkMiner NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏ Network Miner is a network forensics tool for analyzing network traffic www.netresec.com 위 사이트에 들어가서 NetworkMiner라는 툴을 다운로드 받아준다. NetworkMiner은 운영체제, 세션, 호스트 이름, 열린 포트 등을 검색하기 위한 수동 네트워크 패킷 캡처 도구이다. 와이어샤크(Wireshark)같은 경우는 전송되면서 분할된 파일들을 RawData로 표현하지만, NetworkMiner는 사진, 문서 등 어떤 파일이 전송.. 2020. 7. 11.
[Network] DefCoN#21 #3 오늘의 문제!!! 문제에서 제시된 자료를 다운받고 와이어샤크로 열어보면 엄청나게 많은 패킷이 들어있는 것을 볼 수 있다 File->Export Objects->HTTP로 열어보았다. 이 기능은 HTTP로 주고 받은 파일들을 나열해준다. Content Type 란을 보면 다 HTML 관련 내용임을 알 수 있는데, 패킷 넘버 390,480번의 mmsc.cingular.com만 mms-message로 다른 내용인 것을 확인 할 수 있다. 다시 패킷캡처창으로 넘어와서 390번 패킷의 내용을 확인해보자. Follow->TCP Stream으로 창을 켜서 확인해보았다. 저장해준 폴더에 들어가서 파일 확장자로 .mp4로 변경한 뒤 열어보았으나 실행되지 않았다. 그 이유는 바로 이름바꾸기로 변경한 확장자는 맞았으나, 파.. 2020. 7. 5.
[Multimedia] e_e 오늘은 쉬어가는 기분으로 ctf-d의 multimedia 문제를 풀어보자! 문제를 보니 아무내용없이 e_e 얼굴만 있다. http://www.ctf-d.com/challenges#e_e [DigitalForensic] with CTF www.ctf-d.com 문제에서 제시된 파일을 받으면 파일 확장자명이 없다. HxD에서 이 파일을 열어봤다. 파일의 헤더 시그니처 부분을 보니 FF D8 FF E1 이 적혀 있다. 구글링을 통해 이 파일의 확장자명을 찾아보았다. ※ 파일 시그니처란 , 파일의 내용을 식별하거나 확인하는데 사용되는 데이터로, 예시로는 jpg, png, zip 등이 있다. 파일 시그니처는 보통 파일의 맨 앞이나 맨 끝에 위치하는 특정 바이트를 통해 알아낼 수 있다. 파일의 맨 앞부분에 존재하는.. 2020. 6. 15.
[Network] DefCoN#21 #1 Jensen 사건을 맡게 된 Jack과 그의 팀은 Jensen의 회사와 가정에 네트워크 탭과 무선 캡처 장비를 설치했다. 모니터링을 하는 동안 Jack과 그의 팀은 흥미로운 용의자인 Betty를 발견했다. 이 사람은 Jensen 부인이 남편과 바람을 피고 있다고 걱정하는 여자일 수도 있다. Jack은 포렌식 전문가인 당신에게 캡쳐 정보를 자세히 보여준다. 그리고 회의가 진행된다. Round 1 패킷을 사용해서 사건에 대해 자세히 알아보고 다음의 질문에 답하시오. 회의가 예정된 요일은 언제인가? pcap 파일이 주어졌기 때문에 가장 먼저 와이어샤크(WireShark)에서 이 파일을 열어봤다. 아직 잘 모르기 때문에 내용을 하나씩 대충 훑어보았다. 보다보면 얼마 지나지 않아서 "Hi Greg :)" 이라고 .. 2020. 6. 15.
[Disk] 이벤트 예약 웹사이트를 운영하고… #A 이번에는 disk 포렌식 문제를 풀어보도록 하자! 처음 해보는 분야라 설레는 마음으로 시작합시다. 문제에서 주는 파일의 압축을 풀어보면, 2012_Secuwave_F100\Incident_Response\2012-08-27 아래에 사진과 같은 많은 폴더들이 있다. 이 폴더 안에 각각 어떤 파일들이 있는지 알아보자. 폴더 파일 accounts group(사용자 그룹 목록), history(사용한 명령어 목록), last_R,(접속한 계정) lastlog(접근했던 파일들), passwd(사용자 계정 정보), shadow(사용자 비밀번호 정보), w(사용자 ip 정보) file fls_r_m, mactime_b network arp, lsof(폴더와 관련된 파일 및 프로세스 목록), netstat_an osi.. 2020. 6. 7.
[Multimedia] 우리는 이 파일에 플래그를.... 문제를 보니 주어진 파일을 분석해 플래그를 찾아야 하는 것 같다. 주어진 파일을 열어보면, 아무런 확장자 없는 파일이 하나 나온다. 확장자가 없다는 것 이 아마 큰 힌트가 될 것이라고 생각이 든다! . 가장 첫번째로, HxD에 넣어서 내용을 확인해보았다. HxD는 Window용 16진 편집기로, 그냥 무료 헥스 에디터 프로그램이다. 아래 사이트에서 사양에 맞게 다운 받을 수 있다 https://mh-nexus.de/en/hxd/ HxD - Freeware Hex Editor and Disk Editor | mh-nexus HxD - Freeware Hex Editor and Disk Editor HxD is a carefully designed and fast hex editor which, additi.. 2020. 6. 1.

티스토리툴바