![[대회 문제 풀이로 이해하는 디스크 포렌식 분석 1강] - ZipBomb 분석 문제유형](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FbJO5eg%2FbtruXU4R7SZ%2FAAAAAAAAAAAAAAAAAAAAAGf5l0Nr5koH-q8I944gOAjFdJOTn9vTj5LhLzQztsXe%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1767193199%26allow_ip%3D%26allow_referer%3D%26signature%3DaJUIRgROwRKQn71Tz1dAH5MCrzQ%253D)
오늘부터 인프런 강의인 "대회 문제 풀이로 이해하는 디스크 포렌식 분석"을 요약해 볼 것이다.
첫 번째는 zipbomb유형이다.
1. What is ZipBomb?
zipbomb은 프로그램이나 컴퓨터가 파일을 읽을 때 충돌하거나 뻗어버리게 하는 악의적인 압축파일이다.
대표적으로 바이러스 진입이 편하게 바이러스 검사 소프트웨어의 검사를 막는 역할을 한다.
이 zipbomb을 압축하려면 엄청난 메모리와 하드디스크 용량이 필요.
EXAMPLE.
대표적인 예로 42.zip 이 있다.
https://ko.wikipedia.org/wiki/Zip_%ED%8F%AD%ED%83%84
2. The way to solve
이 문제 유형은 그냥 파일에서 flag를 찾으면 된다.
Tip : CRC (파일이 손상되었거나 틀렸는지 검사해주는 알고리즘)
3. ZipBomb example challenge
이제 이 zipbomb형식의 문제를 풀어볼 것이다.
아래와 같은 파일이 있다.
이 안의 파일을 미리 보면 다음과 같다.
위 파일들은 용량이 너무 많아서 한 번에 보기 힘들다, 그래서 미리보기로 보고 용량이 다른 한 파일만 추출할 것이다.
위 정보에서 딱 하나 다른 것은 013.7z 으로 packed 용량이 599kb로 저것만 다르다.
그래서 013.7z을 추출하고 다시 미리보기로 보면 아래와 같이 나온다.
이것도 0009.7z만 596kb로 다르다.
똑같이 추출하고 다시 미리보기로 확인해보자.
0000007.7z만 594kb로 다르다.
한번 더 추출하고 확인해보자.
이번에는 크기 차이가 점점 줄어서 kb단위로는 나타나지 않는다.
그래서 크기순으로 정렬시켜보니 0000000008.7z이 제일 크게 나왔다.
이걸 추출시키고 확인해보니 마지막 bomb_ 파일이 나왔다.
이것도 위에 처럼 똑같이 크기순으로 정렬하면 bomb_08이 제일 컸다.
마지막으로 추출하여 strings로 확인해보니 다음과 같이 flag를 확인할 수 있다.
'Forensics' 카테고리의 다른 글
| UMDCTF(writeup) - HHJ (0) | 2022.03.07 |
|---|---|
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 3,4강] - Web log (0) | 2022.03.04 |
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 2강] - Linkfile analyis (0) | 2022.03.04 |
| FAT32 파티션 복구(Forensics) (0) | 2021.09.12 |
| Forensics - 하드디스크의 구조, MBR 이란? (0) | 2021.09.04 |