IT공부
[Forensic] [SuNiNaTaS] Forensic - 32
이번 문제의 중요내용은 아래와 같다. 당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다. 1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9) 2. 다음 테러 장소는? 인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소) 예) lowercase(MD5(2016-03-28_13:00:00_Pink Lake) 다운로드 링크를 눌러서 파일을 다운받았다. 우선 HxD로 열어보았더니 MSDOS5.0 이라는 파일 시그니처가 보인다. MSDOS5.0은 FAT32 파일의 시그니처라고 한다. FAT32 파일구조는 아래와 같다. 위 FAT32 파일 구조와 다운받은 파일의 구조를 비교해보면 0x1FE ~ 0x1FF에는 시그니처 값인..
[Forensic] [SuNiNaTaS] Forensic - 31
문제 페이지에서 중요한 부분은 아래의 내용이다. 인증키 형식 : lowercase(MD5(Flag)) 다운로드 링크를 눌러서 파일을 다운받았다. HxD로 열어서 확인하다가 JavaScript 코드가 들어가있는 것을 확인했다. JavaScript 코드 부분을 복사해서 확인했다. 아래 코드를 사용하여 Base64로 계속 디코딩했다. Vm0wd2QyUXlWa1pPVldSWFYwZG9WVll3Wkc5V01WbDNXa2M1VjFKc2JETlhhMUpUVmpGS2RHVkdXbFpOYWtFeFZtcEdZV1JIVmtsaQpSbVJPWW14R00xWnRNWHBsUm1SSVZtdFdVZ3BpUmxwd1ZXMTRkMVZXWkZkYVJGSlVUV3N4TkZaSE5VOVhRWEJwVW01Q1dWZHNaRFJaClYxWlhWM..
[Forensic] [SuNiNaTaS] Forensic - 30
문제 페이지에서 중요한 부분은 아래의 내용이다. 1. 김장군 PC의 IP 주소는? 2. 해커가 열람한 기밀문서의 파일명은? 3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다. 인증키 형식 : lowercase(MD5(1번답+2번답+3번키)) 다운로드 링크를 눌러서 파일을 다운받았다. 다운받은 파일을 확인하기 위해 volatility를 사용했다. 가장 먼저 덤프파일의 운영체제 정보를 알기 위해 아래 명령어를 사용해서 확인했다. vol.exe -f [파일명] imageinfo 운영체제는 Win7SP0x86, Win7SP1x86 이다. 1. 김장군 PC IP 알아내기 알아낸 Profile을 사용하여 김장군의 PC IP를 알아내기 위해 아래 명령어를 사용했다. vol.exe -f [파일명] --profi..
[Forensic] [SuNiNaTaS] Forensic - 29
문제 페이지에서 중요한 부분은 아래의 내용이다. 1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. 2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자) - ex) c:\windows\notepad.exe 3. 키로거가 다운로드 된 시간은? - ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss) 4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다. 인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키)) 다운로드 링크 2개를 모두 눌렀다. Download #1 링크는 열리지가 않는다. Download #2 는 드라이브 링크로 이동된다. ..