EnCase 설치 라이센스 동의 - 쭉 설치 EnCase 라이센스 등록 - 라이센스 체크 - 다운받은 파일 중 키 파일 두개를 복사해서 C:\Users\pc\Documents\EnCase 로 복사 - Tools - Options - License Manager - 아래 사진은 Forensic Training 라이센스 등록 상태
> 사이트 번역 더보기 문제 페이지의 설명을 보면, nc에서 알아낸 패스워드들이 포함된 파일이라고 한다. 이 파일에서 패스워드를 찾아내면 되는 것 같다. 파일을 다운받아보았다. 확장자가 붙어져있지 않은 memePasCap 파일인 것 같다. 파일의 원래 확장자가 있는지 확인하기 위해 HxD 프로그램을 통해 열어보았다. 시그니처가 보이지 않는다. 메모장으로 열다보면 아래의 문자열이 보인다. Toujours pas de password : 패스워드가 아직이라고 한다. 보다보면 네트워크 패킷 내용들이 보이기도 하고 파일명에 Cap 이라는 단어가 보여서 WireShark를 사용해서 열어보았다. WireShark로 열어보니 파일을 읽기가 편해졌다. 문제의 내용을 보면 이상한 회원이 메세지를 보냈다고 적혀있어서, n..
> 사이트 번역 더보기 이번에는 파일을 다운받을 때 패스워드 힌트가 없다고 한다. 파일을 다운받아서 압축을 풀려고 하면 패스워드가 걸려있다고 뜬다. .zip 파일의 패스워드 크랙 툴을 사용하여 풀어보았다. 소문자만 이용한 패스워드로 값을 알아냈다. mitnick 압축을 풀어보았다. pass.txt라는 파일을 얻었고 안의 내용은 아래와 같다. belzebuth 정답을 입력했다.
> 사이트 번역 더보기 문제 페이지에서 파일을 다운받으면 .doc 파일의 문서가 다운받아진다. 다운받은 문서 파일을 열면 패스워드가 걸려있다. 패스워드를 풀면 정답이 적혀있지 않을까 예상한다. HxD를 사용해서 파일 내용이 보이는지 확인해보았다. 패스워드가 보인다. compagnie 알아낸 값을 입력해보았다.
이번 문제의 중요내용은 아래와 같다. 당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다. 1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9) 2. 다음 테러 장소는? 인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소) 예) lowercase(MD5(2016-03-28_13:00:00_Pink Lake) 다운로드 링크를 눌러서 파일을 다운받았다. 우선 HxD로 열어보았더니 MSDOS5.0 이라는 파일 시그니처가 보인다. MSDOS5.0은 FAT32 파일의 시그니처라고 한다. FAT32 파일구조는 아래와 같다. 위 FAT32 파일 구조와 다운받은 파일의 구조를 비교해보면 0x1FE ~ 0x1FF에는 시그니처 값인..
문제 페이지에서 중요한 부분은 아래의 내용이다. 인증키 형식 : lowercase(MD5(Flag)) 다운로드 링크를 눌러서 파일을 다운받았다. HxD로 열어서 확인하다가 JavaScript 코드가 들어가있는 것을 확인했다. JavaScript 코드 부분을 복사해서 확인했다. 아래 코드를 사용하여 Base64로 계속 디코딩했다. Vm0wd2QyUXlWa1pPVldSWFYwZG9WVll3Wkc5V01WbDNXa2M1VjFKc2JETlhhMUpUVmpGS2RHVkdXbFpOYWtFeFZtcEdZV1JIVmtsaQpSbVJPWW14R00xWnRNWHBsUm1SSVZtdFdVZ3BpUmxwd1ZXMTRkMVZXWkZkYVJGSlVUV3N4TkZaSE5VOVhRWEJwVW01Q1dWZHNaRFJaClYxWlhWM..
문제 페이지에서 중요한 부분은 아래의 내용이다. 1. 김장군 PC의 IP 주소는? 2. 해커가 열람한 기밀문서의 파일명은? 3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다. 인증키 형식 : lowercase(MD5(1번답+2번답+3번키)) 다운로드 링크를 눌러서 파일을 다운받았다. 다운받은 파일을 확인하기 위해 volatility를 사용했다. 가장 먼저 덤프파일의 운영체제 정보를 알기 위해 아래 명령어를 사용해서 확인했다. vol.exe -f [파일명] imageinfo 운영체제는 Win7SP0x86, Win7SP1x86 이다. 1. 김장군 PC IP 알아내기 알아낸 Profile을 사용하여 김장군의 PC IP를 알아내기 위해 아래 명령어를 사용했다. vol.exe -f [파일명] --profi..
문제 페이지에서 중요한 부분은 아래의 내용이다. 1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. 2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자) - ex) c:\windows\notepad.exe 3. 키로거가 다운로드 된 시간은? - ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss) 4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다. 인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키)) 다운로드 링크 2개를 모두 눌렀다. Download #1 링크는 열리지가 않는다. Download #2 는 드라이브 링크로 이동된다. ..
문제 페이지에서는 패스워드를 갖고 있냐는 말과 함께, 다운로드 링크가 존재한다. 추가로 영어 마지막 문장을 보면 Brute-force를 할 필요가 없다고 한다. 다운받으면 So_Simple.zip 파일이 보인다. 압축을 풀려고 하니 암호가 걸려있다고 뜬다. 그런데 다시 문제를 보면 암호가 있기나 한건가! 라는 문자열이 보인다. 압축파일을 HxD를 사용해서 변경한것이 있나 확인을 해보았다. 우선 .zip 파일의 구조는 아래와 같다. 압축 방법에 대한 부분을 00 00 으로 변경해보았다. 그럼 압축을 풀 때 암호를 입력하는 창이 뜨지 않는다. 압축을 푼 폴더내에 존재하는 압축파일을 한번 더 풀었다. key2, key3 파일은 의미 없어보이는 텍스트파일 같다. 압축파일 내에 존재했던 텍스트 파일에 인증키로 보..
