분류 전체보기

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - Thumbnail, Skype, Recycle.bin 분석

이번에는 Recycle.bin, Thumbnail, Skype, 이 세 가지를 기반으로 하는 시나리오를 분석해 볼 것이다. 그러면 방금 말한 것 중 두 가지(Recycle.bin, Thumbnail)를 어떤 식으로 분석 및 접근해야 하는지 먼저 알아보겠다. - Recycle.bin 먼저 recycle.bin은 휴지통으로 옮겨진 파일들이 있다. Recycle.bin의 경로는 다음과 같다. 예시를 살펴보자. 위와 같이 C:\Recycle.bin\S-1~~~-1001 에 휴지통이 있는 것을 확인할 수 있다. 그리고 오른쪽에 Recycle.bin안에 있는 파일들을 보면 $I~~~ , $R~~~ 이렇게 두 개의 같은 이름의 파일(~~~ 496byte 3. 16~23는 삭제 시간 정보이다. 01D1A384F5E8C..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - APK

이번에는 apk분석이다. 가장 기초적인 apk 분석을 하는 방법을 배울 것이다. APK의 내부파일을 추출하기 위해서는 apktool을 이용하고 그 내부 파일이 난독화 되어 있으면 jd-gui를 이용하면 내용을 알 수 있다. 다음을 참조하여 apk분석을 해보자. 이제 문제 시나리오를 살펴보자. 구성파일은 다음과 같다. 이제 apktool를 이용하여 apk 내부파일을 다음과 같이 추출할 수 있다. 그러면 다음과 같이 추출이 될 것이다. AndroidManifest.xml를 확인해보면 어디에 소스코드가 있는지 확인할 수 있다. 그러면 "smali/tf/icec/husavik"로 가보자. 위와 같이 여러 파일들이 있는데 b.smali를 살펴보면 아래와 같이 의미심장한 문자열이 있다.(실제로는 위 파일들을 일일이..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - Docker

이번에는 docker 분석 유형이다. 1. Background Docker는 container, VM으로 나뉘는데 구조의 차이점은 다음과 같다.(자세히 알아보지 않아도 된다) 이제 분석을 위한 docker 명령어를 알아보자. docker 명령어는 다양한데 다음은 분석하기 위한 명령어들을 요약한 것이다. 리눅스 docker 설치방법 sudo apt-get install docker.io 2. Analyzing 이제 본격적으로 문제를 살펴보고 분석 해보자. 문제 시나리오 인도의 Buszbee마을 Busybox에서 치명적인 바이러스가 벌들을 죽이고 있습니다. 유감스럽게도 당신은 마을에 가서 바이러스와 맞서 싸워야 합니다. 감염된 파일들에서 플래그를 가져오세요. 문제파일은 다음과 같다. 그냥 tar파일, doc..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - John the Ripper

이번에는 John the Ripper라는 패스워드 크래킹 도구를 이용하여 문제를 풀어볼 것이다. 문제의 지문은 아래와 같다. 당신의 친구 Bob은 모의해킹 전문가이다. 그는 문제를 풀고 만드는 것을 좋아한다. 그는 Pied Diaper사에 몇 가지 테스트를 위해 초대받았다. 그리고 당신도 그와 함께 작업에 참여했다. 당신은 현장에서 Bob이 일하는 것을 몇 분간 보고 있었다. 그러던 도중 Bob이 “바보야!”라고 소리 쳤고 장난스런 눈빛으로 당신을 처다 본다. 그리고 나서 Bob은 당신에게 플래시 드라이브를 나눠 주면 서 “바보 같은 사용자를 찾아” 라고 말한다. 문제 지문을 보듯이 이 문제는 취약한 계정의 사용자를 찾는 것이다. 일단 문제파일 압출을 풀어 보면 다음과 같다. 그냥 리눅스 기반 파일들이 ..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - Mail Analysis _Recyle.Bin

HTML 삽입 미리보기할 수 없는 소스 이번에는 메일 관련 시나리오를 분석해 볼 것이다. 이 시나리오는 윈도우 레지스트리, 웹로그, 휴지통, 메일 등을 분석하는 종합적인 문제이다. 시나리오는 아래와 같다. 피터의 살인 사건에 대한 조사가 진행 중이다. 목격자들이 피터와 존 스미스 사이에서 벌어지고있는 싸움을 언급 한 후, 경찰은 존 스미스의 컴퓨터 하드디스크 사본 이미지를 받았다. 그의 메일 중 하나는 피터와 요한 사이에 싸움이 있었다는 것을 확인했지만 요한이 피터를 살해했다는 증거는 아니었다. 분석관인 당신은 메일로 알려준 증거를 찾아야한다. 1. 분석 파일 추출 먼저 분석할 파일들을 ftk imager를 통하여 추출해 볼 것이다. 일단 메일(outlook) 정보를 담고 있는 파일을 추출하기 위해서 아..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석] - P2P + $Logfile

이번에는 P2P 즉 torrent관련 파일이 있는 이미지를 $Logfile를 이용하여 분석해 볼 것이다. 문제는 Digital Forensic 워게임의 "경찰청은 최근 아동성폭력..." 이라는 문제이다. -문제 지문 경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 ..

UMDCTF(writeup) - HHJ

난 다음 4문제를 풀었다. -> Renzik's Case, Xorua, Magic Plagueis the Wise, jdata (모두 포렌식 문제이다.) Renzik's Case winhex로 .img을 열었을 때, 다음과 같이 나왔다. "중요한 문서" 라고 문제 설명에서 말하길래, 위에 personal_document에 뭔가 있음을 예상했다. 다음과 같이 폴더 안으로 들어가면 REALLY_personal_document가 있었다. 들어가면 다음과 같은 두 파일이 있었다. 두 파일 중 png파일이 다음과 같이 flag를 가지고 있었다. flag : UMDCTF-{Sn00p1N9_L1K3_4_Sl317h!} Xorua 이 문제는 before.png 와 after.png를 XOR한 후 PNG파일 부분만 보면..

[대회 문제 풀이로 이해하는 디스크 포렌식 분석 3,4강] - Web log

이번에는 web log와 관련된 포렌식 문제 유형을 살펴볼 것이다. 이런 문제는 사용자가 웹 브라우저를 사용하고 남은 아키택쳐 파일을 분석하면 된다. 웹 브라우저에서는 다음과 같은 정보를 획득할 수 있다. Cache정보 : 방문사이트 접속 시 자동으로 받는 정보 History 정보 : 사용자가 방문한 웹사이트 주소 정보 Cookie 정보 : 웹사이트에서 사용자의 HDD에 저장 시켜놓는 사용자 데이터 Download 정보 : 사용자가 웹 상에서 받은 파일에 대한 정보 1. Location of history file 이제 각 브라우저 별 history파일이 어딨는지 살펴보겠다. chrome 브라우저 점유율 1위 sqlite3 사용 -추가 자료 https://www.foxtonforensics.com/bro..