Forensics

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - Docker

이번에는 docker 분석 유형이다. 1. Background Docker는 container, VM으로 나뉘는데 구조의 차이점은 다음과 같다.(자세히 알아보지 않아도 된다) 이제 분석을 위한 docker 명령어를 알아보자. docker 명령어는 다양한데 다음은 분석하기 위한 명령어들을 요약한 것이다. 리눅스 docker 설치방법 sudo apt-get install docker.io 2. Analyzing 이제 본격적으로 문제를 살펴보고 분석 해보자. 문제 시나리오 인도의 Buszbee마을 Busybox에서 치명적인 바이러스가 벌들을 죽이고 있습니다. 유감스럽게도 당신은 마을에 가서 바이러스와 맞서 싸워야 합니다. 감염된 파일들에서 플래그를 가져오세요. 문제파일은 다음과 같다. 그냥 tar파일, doc..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - John the Ripper

이번에는 John the Ripper라는 패스워드 크래킹 도구를 이용하여 문제를 풀어볼 것이다. 문제의 지문은 아래와 같다. 당신의 친구 Bob은 모의해킹 전문가이다. 그는 문제를 풀고 만드는 것을 좋아한다. 그는 Pied Diaper사에 몇 가지 테스트를 위해 초대받았다. 그리고 당신도 그와 함께 작업에 참여했다. 당신은 현장에서 Bob이 일하는 것을 몇 분간 보고 있었다. 그러던 도중 Bob이 “바보야!”라고 소리 쳤고 장난스런 눈빛으로 당신을 처다 본다. 그리고 나서 Bob은 당신에게 플래시 드라이브를 나눠 주면 서 “바보 같은 사용자를 찾아” 라고 말한다. 문제 지문을 보듯이 이 문제는 취약한 계정의 사용자를 찾는 것이다. 일단 문제파일 압출을 풀어 보면 다음과 같다. 그냥 리눅스 기반 파일들이 ..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - Mail Analysis _Recyle.Bin

HTML 삽입 미리보기할 수 없는 소스 이번에는 메일 관련 시나리오를 분석해 볼 것이다. 이 시나리오는 윈도우 레지스트리, 웹로그, 휴지통, 메일 등을 분석하는 종합적인 문제이다. 시나리오는 아래와 같다. 피터의 살인 사건에 대한 조사가 진행 중이다. 목격자들이 피터와 존 스미스 사이에서 벌어지고있는 싸움을 언급 한 후, 경찰은 존 스미스의 컴퓨터 하드디스크 사본 이미지를 받았다. 그의 메일 중 하나는 피터와 요한 사이에 싸움이 있었다는 것을 확인했지만 요한이 피터를 살해했다는 증거는 아니었다. 분석관인 당신은 메일로 알려준 증거를 찾아야한다. 1. 분석 파일 추출 먼저 분석할 파일들을 ftk imager를 통하여 추출해 볼 것이다. 일단 메일(outlook) 정보를 담고 있는 파일을 추출하기 위해서 아..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - P2P + $Logfile

이번에는 P2P 즉 torrent관련 파일이 있는 이미지를 $Logfile를 이용하여 분석해 볼 것이다. 문제는 Digital Forensic 워게임의 "경찰청은 최근 아동성폭력..." 이라는 문제이다. -문제 지문 경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 ..

UMDCTF(writeup) - HHJ

난 다음 4문제를 풀었다. -> Renzik's Case, Xorua, Magic Plagueis the Wise, jdata (모두 포렌식 문제이다.) Renzik's Case winhex로 .img을 열었을 때, 다음과 같이 나왔다. "중요한 문서" 라고 문제 설명에서 말하길래, 위에 personal_document에 뭔가 있음을 예상했다. 다음과 같이 폴더 안으로 들어가면 REALLY_personal_document가 있었다. 들어가면 다음과 같은 두 파일이 있었다. 두 파일 중 png파일이 다음과 같이 flag를 가지고 있었다. flag : UMDCTF-{Sn00p1N9_L1K3_4_Sl317h!} Xorua 이 문제는 before.png 와 after.png를 XOR한 후 PNG파일 부분만 보면..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석 3,4강] - Web log

이번에는 web log와 관련된 포렌식 문제 유형을 살펴볼 것이다. 이런 문제는 사용자가 웹 브라우저를 사용하고 남은 아키택쳐 파일을 분석하면 된다. 웹 브라우저에서는 다음과 같은 정보를 획득할 수 있다. Cache정보 : 방문사이트 접속 시 자동으로 받는 정보 History 정보 : 사용자가 방문한 웹사이트 주소 정보 Cookie 정보 : 웹사이트에서 사용자의 HDD에 저장 시켜놓는 사용자 데이터 Download 정보 : 사용자가 웹 상에서 받은 파일에 대한 정보 1. Location of history file 이제 각 브라우저 별 history파일이 어딨는지 살펴보겠다. chrome 브라우저 점유율 1위 sqlite3 사용 -추가 자료 https://www.foxtonforensics.com/bro..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석 2강] - Linkfile analyis

이번에는 linkfile forensic이다.(중간중간 windows랑 mac이랑 섞여 나오는데, windows는 가상 머신이다) linkfile은 우리가 아는 바로가기(.lnk) 파일이고, 이 파일을 분석하여 유출 정황 등을 파악할 수 있다. 1. Basic linkfile information -lnk의 기본 생성 위치 -C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Start Menu -C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Recent -C:/Users/YAMI/AppData/Roaming/Microsoft/Office/Recent -링크파일 offset 내용 2. Linkfile challenge 이제 link..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석 1강] - ZipBomb 분석 문제유형

오늘부터 인프런 강의인 "대회 문제 풀이로 이해하는 디스크 포렌식 분석"을 요약해 볼 것이다. 첫 번째는 zipbomb유형이다. 1. What is ZipBomb? zipbomb은 프로그램이나 컴퓨터가 파일을 읽을 때 충돌하거나 뻗어버리게 하는 악의적인 압축파일이다. 대표적으로 바이러스 진입이 편하게 바이러스 검사 소프트웨어의 검사를 막는 역할을 한다. 이 zipbomb을 압축하려면 엄청난 메모리와 하드디스크 용량이 필요. EXAMPLE. 대표적인 예로 42.zip 이 있다. https://ko.wikipedia.org/wiki/Zip_%ED%8F%AD%ED%83%84 2. The way to solve 이 문제 유형은 그냥 파일에서 flag를 찾으면 된다. Tip : CRC (파일이 손상되었거나 틀렸는..