Security/Forensic Problem Solving (5) 썸네일형 리스트형 [Forensic] Suninatas 21번, N0Named wargame MagizIMAGE Suninatas 21번 (난이도 하, foremost 도구를 사용하여 문제를 풉니다.) 문제를 보고 파일 크기를 젤 처음 확인해 보았는데 화질이 너무 안좋은데 용량 이1.4MB였다. 여기서 이 파일에 무언가 더 숨겨져 있을거라고 확신하고 ppt 힌트에 있던 foremost 도구를 활용 했다. 탐색 대상을 정확히 모르니까 all로 하고 계속 입력해 보았는데 위와 같이 stdin 만 계속 뜬다. 이 것을 해결하기 위해 재부팅도 해봤고 인터넷에서 많은 자료를 얻어 시도했지만 전부 다 헛수고………. 그래서 포기 하고 그냥 HxD를 사용했다. 위의 사진에서 flag 값 ‘H4CC3R_IN_TH3_MIDD33_4TT4CK’를 얻었다. N0Named wargame MagicIMAGE (난이도 하) Mandu.png.. [Forensic] N0named wargame [B] 유출된 자료 거래 사건[3] 문제 풀이 이번에 풀어볼 문제는 N0named wargame 문제 중 하나인 infect문제를 풀어볼 것이다. 아래 링크를 클릭하면 N0named사이트에 연결됩니다. ctf.no-named.kr:1234/ 일단 문제를 풀기 전에 FTK Imager - AccessData (포렌식 작업에서 발생될 수 있는 사고를 방지하기 위해 미디어 이미지를 복제하는데 사용됨.) 위 프로그램이 필요합니다. 주어진 파일을 FTK로 보면 nonamed라는 사람을 제외하고 cocktail이라는 사람이 한 명 더 보인다. 이제 동거자의 이름을 알았으니 계정이 삭제된 시각을 알아내야 하는데 이번 주차에 배운 윈도우 이벤트(windows eventlog)를 활용하면 되겠다. 이벤트 로그에 관한 내용은 kali-km.tistory.com/ent.. [Forensic] N0named wargame [B] 유출된 자료 거래 사건[2] 문제 풀이 이번에 풀어볼 문제는 N0named wargame 문제 중 하나인 [C]우리의 추억들문제를 풀어볼 것이다. 아래 링크를 클릭하면 N0named사이트에 연결됩니다. ctf.no-named.kr:1234/ FTK Imager - AccessData (포렌식 작업에서 발생될 수 있는 사고를 방지하기 위해 미디어 이미지를 복제하는데 사용됨.) DBbrowser for SQLite (DB파일 읽는 프로그램) NTFS Log Tracker - blueangel(NTFS의 $LogFile, $UsnJrnl, $MFT 파일을 파싱하여 CSV파일포맷으로 결과를 출력하는 기능을 제공한다.) 문제 풀기에 앞서 위 3가지 프로그램이 필요하다. 힌트인 (파일을 입수한 경로를 찾아보면 찾기 편할 수도?)를 바탕으로 대부분의 파일.. [Forensic] N0named wargame [C]우리의 추억들 문제 풀이 이번에 풀어볼 문제는 N0named wargame 문제 중 하나인 [C]우리의 추억들문제를 풀어볼 것이다. 아래 링크를 클릭하면 N0named사이트에 연결됩니다. ctf.no-named.kr:1234/ FTK Imager - AccessData (포렌식 작업에서 발생될 수 있는 사고를 방지하기 위해 미디어 이미지를 복제하는데 사용됨.) Thumbnail Database Viewer(DB에 존재하는 썸네일을 읽을때 사용) 위 2 가지 프로그램이 필요합니다. 위의 파일을 다운로드 받고 압축을 풀면 아래와 같은 파일들이 보입니다. 먼저 AD1파일이 보이므로 FTK Imager을 사용해 일단 열어본다. 문제에서 실수로 중요한 사진들을 지웠다고 했으니까 휴지통에 파일이 들어가 있을 확률이 있어 root/Recyc.. [Forensic] N0named wargame infect 문제 풀이 이번에 풀어볼 문제는 N0named wargame 문제 중 하나인 infect문제를 풀어볼 것이다. 아래 링크를 클릭하면 N0named사이트에 연결됩니다. ctf.no-named.kr:1234/ 일단 문제를 풀기 전에 FTK Imager - AccessData (포렌식 작업에서 발생될 수 있는 사고를 방지하기 위해 미디어 이미지를 복제하는데 사용됨.) WinPrefetchView - NirSoft (프리패치 파일을 분석하기 위해 사용하는 프로그램) DBbrowser for SQLite (DB파일 읽는 프로그램) 위 3가지 프로그램이 필요합니다. 그럼이제 문제 풀이를 시작 하겠습니다. 문제는 위와 같습니다. image파일을 다운받아서 FTK imager에서 파일을 열어줍니다. 그리고 Desktop이랑 Do.. 이전 1 다음
