Forensics

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - John the Ripper

이번에는 John the Ripper라는 패스워드 크래킹 도구를 이용하여 문제를 풀어볼 것이다. 문제의 지문은 아래와 같다. 당신의 친구 Bob은 모의해킹 전문가이다. 그는 문제를 풀고 만드는 것을 좋아한다. 그는 Pied Diaper사에 몇 가지 테스트를 위해 초대받았다. 그리고 당신도 그와 함께 작업에 참여했다. 당신은 현장에서 Bob이 일하는 것을 몇 분간 보고 있었다. 그러던 도중 Bob이 “바보야!”라고 소리 쳤고 장난스런 눈빛으로 당신을 처다 본다. 그리고 나서 Bob은 당신에게 플래시 드라이브를 나눠 주면 서 “바보 같은 사용자를 찾아” 라고 말한다. 문제 지문을 보듯이 이 문제는 취약한 계정의 사용자를 찾는 것이다. 일단 문제파일 압출을 풀어 보면 다음과 같다. 그냥 리눅스 기반 파일들이 ..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - Mail Analysis _Recyle.Bin

HTML 삽입 미리보기할 수 없는 소스 이번에는 메일 관련 시나리오를 분석해 볼 것이다. 이 시나리오는 윈도우 레지스트리, 웹로그, 휴지통, 메일 등을 분석하는 종합적인 문제이다. 시나리오는 아래와 같다. 피터의 살인 사건에 대한 조사가 진행 중이다. 목격자들이 피터와 존 스미스 사이에서 벌어지고있는 싸움을 언급 한 후, 경찰은 존 스미스의 컴퓨터 하드디스크 사본 이미지를 받았다. 그의 메일 중 하나는 피터와 요한 사이에 싸움이 있었다는 것을 확인했지만 요한이 피터를 살해했다는 증거는 아니었다. 분석관인 당신은 메일로 알려준 증거를 찾아야한다. 1. 분석 파일 추출 먼저 분석할 파일들을 ftk imager를 통하여 추출해 볼 것이다. 일단 메일(outlook) 정보를 담고 있는 파일을 추출하기 위해서 아..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - P2P + $Logfile

이번에는 P2P 즉 torrent관련 파일이 있는 이미지를 $Logfile를 이용하여 분석해 볼 것이다. 문제는 Digital Forensic 워게임의 "경찰청은 최근 아동성폭력..." 이라는 문제이다. -문제 지문 경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 ..

UMDCTF(writeup) - HHJ

난 다음 4문제를 풀었다. -> Renzik's Case, Xorua, Magic Plagueis the Wise, jdata (모두 포렌식 문제이다.) Renzik's Case winhex로 .img을 열었을 때, 다음과 같이 나왔다. "중요한 문서" 라고 문제 설명에서 말하길래, 위에 personal_document에 뭔가 있음을 예상했다. 다음과 같이 폴더 안으로 들어가면 REALLY_personal_document가 있었다. 들어가면 다음과 같은 두 파일이 있었다. 두 파일 중 png파일이 다음과 같이 flag를 가지고 있었다. flag : UMDCTF-{Sn00p1N9_L1K3_4_Sl317h!} Xorua 이 문제는 before.png 와 after.png를 XOR한 후 PNG파일 부분만 보면..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석 3,4강] - Web log

이번에는 web log와 관련된 포렌식 문제 유형을 살펴볼 것이다. 이런 문제는 사용자가 웹 브라우저를 사용하고 남은 아키택쳐 파일을 분석하면 된다. 웹 브라우저에서는 다음과 같은 정보를 획득할 수 있다. Cache정보 : 방문사이트 접속 시 자동으로 받는 정보 History 정보 : 사용자가 방문한 웹사이트 주소 정보 Cookie 정보 : 웹사이트에서 사용자의 HDD에 저장 시켜놓는 사용자 데이터 Download 정보 : 사용자가 웹 상에서 받은 파일에 대한 정보 1. Location of history file 이제 각 브라우저 별 history파일이 어딨는지 살펴보겠다. chrome 브라우저 점유율 1위 sqlite3 사용 -추가 자료 https://www.foxtonforensics.com/bro..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석 2강] - Linkfile analyis

이번에는 linkfile forensic이다.(중간중간 windows랑 mac이랑 섞여 나오는데, windows는 가상 머신이다) linkfile은 우리가 아는 바로가기(.lnk) 파일이고, 이 파일을 분석하여 유출 정황 등을 파악할 수 있다. 1. Basic linkfile information -lnk의 기본 생성 위치 -C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Start Menu -C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Recent -C:/Users/YAMI/AppData/Roaming/Microsoft/Office/Recent -링크파일 offset 내용 2. Linkfile challenge 이제 link..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석 1강] - ZipBomb 분석 문제유형

오늘부터 인프런 강의인 "대회 문제 풀이로 이해하는 디스크 포렌식 분석"을 요약해 볼 것이다. 첫 번째는 zipbomb유형이다. 1. What is ZipBomb? zipbomb은 프로그램이나 컴퓨터가 파일을 읽을 때 충돌하거나 뻗어버리게 하는 악의적인 압축파일이다. 대표적으로 바이러스 진입이 편하게 바이러스 검사 소프트웨어의 검사를 막는 역할을 한다. 이 zipbomb을 압축하려면 엄청난 메모리와 하드디스크 용량이 필요. EXAMPLE. 대표적인 예로 42.zip 이 있다. https://ko.wikipedia.org/wiki/Zip_%ED%8F%AD%ED%83%84 2. The way to solve 이 문제 유형은 그냥 파일에서 flag를 찾으면 된다. Tip : CRC (파일이 손상되었거나 틀렸는..

FAT32 파티션 복구(Forensics)

오늘은 외장디스크(USB)의 형식인 fat32 형식의 파티션을 복구해볼 것이다. 1. FAT32 복구 먼저 ftk imager로 열어보았다. 이미지파일이 손상되어 나타나지 않는다. 그러면 HxD disk image모드를 실행해보자. sector(512bytes) 0에 부트코드가 끝난후 파란색 부분 부터 파티션테이블이 들어간다. 맨처음 부팅 코드가 0x80이므로 부팅가능한 이미지파일이다. 그러면 파티션 시작주소를 찾아보자. 중간에 [3f 00 00 00]이 파티션 시작 섹터이다. 파티션 정보는 리틀엔디언으로 저장되기 때문에 실제로는 섹터 3f에 있다. 3f는 정수로 63이다. 그러면 63섹터로 이동해보자. Disk Fail이라고 뜨는 것을 보니 시작 섹터가 손상되었다. FAT32는 복구 파티션이 시작섹터+..