전체 글 (47) 썸네일형 리스트형 [Network] DefCoN#21 #2 문제 풀이 Networkminer를 이용하여 패킷을 우선 분석해보았다. Message 탭에 3개가 잡혀서 찾아보니, Greg과 Betty가 주고받은 메일이 보인다. 또한 메일 내용에서 password도 제공하고 있었다. 2개의 메일이 존재하고 마지막에는 'DCC SEND'라는 단어들이 보였다. DCC SEND에 대해 검색해보니, "IRC와 관련된 하위 프로토콜로 파일을 교환할 때 사용"이라고 나와 있었으며, DCC SEND 임을 알 수 있었다. 이를 통해, ip주소, port 번호, file size를 각각 알 수 있었다. Wireshark conversations에서 1024port를 찾아보니, 172.29.1.50, 172.29.1.55가 통신한 내용이 보인다. 819kb로 맞춘 후 raw 파일로 저.. [파일 시스템] MBR 구조 1. MBR이란? 마스터 부트 레코드(MBR)는 파티션된 기억장치(이를 테면 하드 디스크)의 첫 섹터(섹터 0)인 512 바이트 시동 섹터이다.(파티션되지 않은 장치의 시동 섹터는 볼륨 부트 레코드이다.) (위키백과) 부팅에 필요한 Boot Code와 파티션 정보를 가지고 있어 시스템의 MBR이 손상되면 부팅이 불가능하게 된다. 2. MBR 구조 2.1 Boot Code(446byte) 부팅과 관련된 코드를 담고 있는 영역이며, 부팅 가능한 시스템에 대한 Boot Code 영역은 모두 같으며, 446byte의 크기를 가진다. 2.2 Partition Table(64byte) 실제 파티션 정보를 담고 있는 영역으로 총 4개의 파티션 정보를 저장할 수 있다. 부팅에 필요한 정보가 있는 파티션으로 점프시켜 주.. [Disk] 이벤트 예약 웹 사이트를 운영하고... #A, #B, #C 0. 문제 1. 파일 분석 accounts, file, network, osinfo, process, weblog 폴더들이 있었다. 2. histroy 확인 우선 accounts의 history 폴더를 확인해보았다. chmod 777 명령어가 실행되어 있는 것을 볼 수 있다. '/var/www/upload/editor/image'에 모든 권한을 다 부여 한 것이다. 아마 이 경로를 통해서 악성 파일이 업로드 되었을 가능성이 크다. 3. weblog 확인 access.log에서 위의 경로를 검색해보았다. '/upload/editor/image'를 검색해보면 아래와 같이 'cmd.php' 파일이 올라간것을 알 수 있다. cmd.php를 통해 명령어를 입력하였다. 'base64'로 인코딩 되어 있는데, 이를 .. [Multimedia] 제 친구의 개가 바다에서... 0. 문제 1. 사진 확인 HxD로 확인해 보면 'FF D8'로 시작하므로 정상적인 JPG 파일임을 알 수 있다. 보통은 'FF D8 FF E0'나 'FF D8 FF E8'로 시작하는데 'DB'는 처음 보았다. 알아보니, '양자화 테이블'이라고 설명이 되어 있었다. 'JPEG'는 'Joint Photographic Exeprts Group'이라는 위원회에서 정한 그래픽 이미지 압축에 관한 표준을 의미한다. 이 이미지 압축에 쓰이는 방법에 양자화 테이블이 사용되었기 떄문에 'FF DB가 붙은 것 같다. 2. 플래그 확인 사진 명암만 조절하면 Flag를 찾을 수 있을거 같아서 아래 사이트에서 조정해봤다. https://29a.ch/photo-forensics/#forensic-magnifier 사진 속에서 .. [Memory] GrrCON 2015 #1 0. 문제 vmss 파일이 주어져있다. 처음에 VMware를 통해 열어보려 했으나 열리지 않았다. 그래서 기존에 사용중인 가상머신에 파일을 옮긴 후, Volatility를 이용하여 파일을 분석하였다. 1. Profile 확인 vol.py -f Target1-1dd8701f.vmss imageinfo 위와 같은 정보를 얻을 수 있고, Profile은 Win7SP1x86_23418임을 확인할 수 있다. 2. 의심 파일 확인 vol.py -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pstree 먼저 프로세스 구조를 파악하였다. 주어진 문제에서 보면, 이메일을 받았다고 하였다. 이메일 관련 프로그램을 확인해 보면 'OUTLOOK.EXE'를 찾을 수 있다. 3. D.. Volatility 설치 sudo apt-get install git git clone https://github.com/volatilityfoundation/volatility.git cd volatility/ sudo python setup.py install sudo apt-get install yara sudo apt-get install python-pip sudo -H pip install --upgrade pip sudo -H pip install distorm3 pycrypto openpyxl Pillow [Network] DefCoN#21 #1 문제 Jensen 사건을 맡게 된 Jack과 그의 팀은 Jensen의 회사와 가정에 네트워크 탭과 무선 캡처 장비를 설치했다. 모니터링을 하는 동안 Jack과 그의 팀은 흥미로운 용의자인 Betty를 발견했다. 이 사람은 Jensen 부인이 남편과 바람을 피고 있다고 걱정하는 여자일 수도 있다. Jack은 포렌식 전문가인 당신에게 캡쳐 정보를 자세히 보여준다. 그리고 회의가 진행된다. Round 1 패킷을 사용해서 사건에 대해 자세히 알아보고 다음의 질문에 답하시오. 회의가 예정된 요일은 언제인가? 풀이 문제에 주어진 패킷을 열어보면 아래와 같이 보인다. 다양한 프로토콜들이 있는데, 이 중 IRC 프로토콜이 존재한다. IRC 정의를 찾아보면 다음과 같다. 인터넷 릴레이 챗(Internet Relay Ch.. 이전 1 ··· 3 4 5 6 다음
