Inh22 Inh22

문제 별 설명 없이 pcap 파일 하나가 주어진다. 풀이 주어진 pcap 파일을 Wireshark로 열어보았더니 http 형식의 패킷 여러 개가 눈에 띈다. 따라가기(Follow)를 해보았더니 어떤 메시지를 POST로 전송하고 있다. 그에 대한 답으로는 Hello World를 출력해 준다. 전송하는 문자열을 URL 디코딩해보았더니 SELECT IF(ASCII(SUBSTRING((SELECT flag FROM s3cr3t LIMIT 1),35,1))=156, SLEEP(3), 0)이다. 딱 봐도 SQL문이다. SQL에서 SUBSTRING(string, start, length)는 문자열 string에서 start 위치부터 length만큼 가져온다는 의미이다. 따라서 저 쿼리는 's3cr3t이라는 SQL D..

문제 flag가 포함된 PDF 파일이 삭제되었다고 한다. 그리고 E01파일이 주어진다. 풀이 E01은 이미지 파일이다. 바로 FTK Imager로 열어보았다. 누가 파일을 삭제하였다고 하니 NTFS log tracker로 삭제 로그를 알아보았다. NTFS log tracker에 $LogFile, $UsnJrnl$J, $MFT 파일을 각각 넣어주고 파싱 하면 위와 같이 파일을 생성하고, 수정하고, 삭제한 이력을 보여준다. seg1~4라는 파일을 삭제한 것을 볼 수 있다. 하나의 PDF 파일을 여러 조각으로 나눠서 가지고 있다가 삭제한 것 같다. 휴지통 아티팩트인 $RECYCLE.BIN을 분석해보려고 했지만 별 내용이 없었다. 만약 파일을 삭제한 사람이 휴지통에서도 파일을 삭제했다면, unallocated ..

윈도우 검색 서비스 (Windows Search Service, WSS) Windows 운영체제에서 윈도우 검색을 지원하기 위해 운영체제 내 파일시스템 전체를 인덱싱하는 기능이다. 파일의 이름뿐 아니라 메타데이터와 파일 내용 일부까지도 인덱싱 하기 때문에 파일 내용으로도 윈도우 검색이 가능하다. 윈도우 검색 설정 데이터 (Windows Search configuration data) Windows Search 기능에 대한 여러 설정들이 저장된 데이터이다. 경로: HKLM\SOFTWARE\Microsoft\Windows Search HKCU\SOFTWARE\Microsoft\Windows Search 혹은 손쉽게 제어판 '색인 옵션'에서 인덱싱에 대한 여러 옵션을 설정할 수 있다. 저장된 검색 (Saved..

문제 "Windows Search"라는 개념과 관련된 문제인 것 같다. 풀이 Windows.edb라는 파일이 주어진다. edb라는 확장자는 처음 봐서 검색을 해보았더니 윈도우 ESE database 파일 중 하나이고, Windows Search라는 기능과 관련된 파일이라는 것을 알게 되었다. Windows Search Database 개념 공부 https://inh22.tistory.com/8 Windows Search Database Forensic (Windows.edb) 윈도우 검색 서비스 (Windows Search Service, WSS) Windows 운영체제에서 윈도우 검색을 지원하기 위해 운영체제 내 파일시스템 전체를 인덱싱하는 기능이다. 파일의 이름뿐 아니라 메타데이터와 파일 내 inh2..

문제 신입 직원이 Hex Editor로 USB 이미지를 손상시켰다고 한다. https://hyd3.tistory.com/125 [File System] FAT 32 이론 및 수동 분석 1. 실습 환경 VersionHost PCWindows 7 64bitGuest PCWindows xp sp2Hex EditorHxDPerl CodingEdit Plus3[표 1-1] 실습 환경 2. FAT 32 개요 File Allocation Table 이라는 파일 시스템으로 Windows 기반의 주로 작은 용량의 HDD에서 사용 hyd3.tistory.com FAT32의 구조에 대해서는 위 블로그 글을 참고하였다. 풀이 어디가 손상되었는지 알기 위해 HxD로 열어보았다. 일단 Boot record는 정상적이어 보인다. ..

문제 문제에 특별한 설명은 없고, 링크를 통해 FFFFAAAATTTT.001이라는 파일을 다운로드할 수 있다. 풀이 확장자만으로 파일의 타입을 파악할 수 없어 HxD로 살펴보았다. 위와 같이 맨 위에 Fix the Disk라는 문자열로 가득 차있다. 문제 이름이 FAT이고, Fix the disk라고 하는 걸 보니 해당 파일은 FAT 형식의 디스크 이미지 파일인 것 같다. FAT 형식은 맨 앞에 부트 레코드로, 부팅에 대한 정보들이 저장되어 있어야 하는데 위와 같이 손상되어 있다. 손상되어 있기 때문에 FTK Imager로도 열리지 않는다. https://hyd3.tistory.com/125 [File System] FAT 32 이론 및 수동 분석 1. 실습 환경 VersionHost PCWindows ..

문제 ※ 파일 이름이 이상해서 커맨드 오류가 일어나 이름을 변경하여 분석하였다. 풀이 기본 정보 김장군 PC의 IP주소를 알기 위해 netscan 명령어를 사용하였다. (네트워크 관련 명령어는 운영체제 종류 및 버전을 지정해 줘야 제대로 작동한다) IP 주소 = 192.168.197.138 다음으로 해커가 열람한 기밀 문서의 파일명을 알아야 한다. 파일에 접근하기 위해 명령어를 사용하지 않았을까 하고 cmdscan 명령어를 사용해 보았다. * cmdscan, consoles: cmd와 콘솔에 입력한 값을 출력해 준다. (consoles의 경우 입/출력을 모두 출력) * cmdline: cmd에서 실행된 명령어와 그 인자 정보를 절대 경로로 출력해준다. 해커가 notepad 명령어를 통해 SecreetDo..

문제 컴퓨터를 고장 낸 프로세스의 이름, PID, 포트, 시각을 알아내야 한다. 메모리 덤프 분석에는 Volatility라는 툴이 사용된다. 현재 Volatility는 버전 3까지 나왔는데, 3은 이전 버전과 명령어가 많이 상이하여 이 풀이에서는 Volatility 2.6 standalone 버전으로 분석을 수행하였다. 풀이 먼저 imageinfo 명령어로 메모리 덤프의 기본적인 정보를 알아보았다. 운영체제 정보, 덤프가 만들어진 날짜 등을 볼 수 있다. 우리는 갑자기 종료된 이유를 찾아야 한다. 먼저 실행되고 있던 프로세스를 알아보자. pstree는 실행된 프로세스들을 PID와 PPID를 기반으로 트리 형태로 구조화하여 출력주는 명령어이다. 가장 최근에 실행된 프로세스는 conime.exe이다. con..