| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
- 무료교육
- 개인정보보호
- 한국산업인력공단
- 개인정보보호위원회
- node.js
- 덧셈 암호
- 웹 프레임워크
- 백엔드입문
- pwnable.tw
- 개인정보안전성
- 한국정보보호산업협회기자단
- 곱셈 암호
- 호이스팅
- 유클리드_알고리즘
- function scope
- 개인정보보호교육
- 확장 유클리드 알고리즘
- 디오판투스 알고리즘
- 포너블
- 가명정보처리
- package-lock.json
- 국가인적자원개발컨소시엄
- Writeup
- 마감임박
- arrow function
- 백엔드
- 동적타이핑
- 모듈러 연산
- package.json
- 한국정보보호산업협회
- Today
- Total
목록forensic (22)
짱짱해커가 되고 싶은 나
[NONamed Wargame] 유출된 자료 거래사건[4] writeup
구매했던 자료를 활용하기 위한 계획이 암호화되어 있다고 한다. 흠! 암호화라.. 앞에서 봤던 VeraCrypt를 다운받았던게 걸리는구만 휴지통을 뒤적거리다가 암호화 키를 저장했던 파일을 찾았다. VeraCrypt를 설치해서 이 정보를 가지고 볼륨을 생성해보자. 볼륨 크기는 partiton3 크기로 했당 ㅇㄴ 안깔려있는 줄 알고 없는 용량으로 열심히 깔고 있었는데 전에 깔았었다;; partitoin3을 추출해서 VeraCrypt의 드라이브에 mount하고 열었더니!! plan.txt가 생겼다..! 도동..! 와우.. 너무 신기;; 뭥미..?!?!
[NONamed Wargame] 유출된 자료 거래사건[3] writeup
문제분석 동거자의 이름과 계정이 삭제된 시간을 알아보면 된다. 계정 삭제 같은 경우 시큐리티 이벤트 로그에 남기 때문에 로그를 살펴보면 될 것 같다. 4720 - 계정 생성, 4726 - 계정 삭제 먼저 Users 폴더에 보면 사용자 이름이 cocktail이랑 nonamed 2개가 있다. 이제 이 계정들에 관해서 삭제 로그만 확인하면 될 것 같다.. (Windows/system32/winevt/Logs/Security.evtx) cocktail 계정이 0220.23:52:57에 삭제되었다.
[NONamed Wargame] 유출된 자료 거래 사건[2] writeup
문제분석 USB로 옮겼을 것으로 의심되는 파일을 찾는 문제다. 우선, FTK로 문제vmdk 파일을 열었다. 보니까 partion 1,2,3이랑 unparitioned space가 뜬다. 각 파티션을 열어보면 partiton 3는 제대로 인식을 못하고 있다는 것을 알 수 있다. ( 파티션을 암호화했는지 의심 가능) Partiton 2에 NONAME이라는 유저에 대한 정보가 있으니 이 파티션을 보자. 문제 힌트에서 파일을 입수한 경로를 한 번 보라고 했으니까 History 파일을 열어보자(Users/AppData/Local/Google/Chrome/UserData/Default) 다양한 활동을 했다. 구글 계정도 만들고, 구글 드라이브, G메일, 구글 지도, 유투브, veracrypt 다운로드 등 VeraC..
안티 포렌식은 디지털 데이터를 조작, 삭제 또는 난독화하여 조사를 어렵게 만들거나 시간이 많이 소요되도록 하거나, 거의 불가능하게 만드는 것 - 존 바바라 - 안티 포렌식은 디지털 증거를 은폐하거파 파괴하는데 사용할 수 있는 기술이지만 합법적인 용도로도 사용할 수 있다. 따라서, 툴과 기술을 사용한 의도를 증명 하는 것이 핵심이다. [ 데이터 은폐 ] ex) 파일 이름/ 확장자 변조, 암호화 등 * 난독화 : 컴퓨터 코드를 보호하는 용으로 사용해서 리버스 엔지니어링으로부터 보호하는데 사용한다. 암호화는 데이터 자체에 적용 되기 때문에 컴퓨터가 코드를 이해하지 못해서 이런 용도로는 사용이 불가능하다. * 암호화 - 폴더 암호화/ 전체 디스크 암호화 운영체제는 swap 공간과 같이 드라이브에 데이터의 흔적을..
[NONamed Wargame] 우리의 추억들 Writeup
Background 삭제된 파일을 복구 하는 방법은 총 3가지가 있다. 1. 카빙(해당 공간이 다른 데이터로 덮여 쓰이지 않았을 경우) 2. 휴지통 3. 썸네일 캐시(이미지 파일일 경우) 문제 분석 삭제한 사진을 복구하는 문제인 것 같다. 다운받은 폴더를 보면 AD1파일, 001 압축 파일, 그리고 각 파일들의 텍스트 문서가 있다. 하하 감도 안잡힌다. 일단 AD1이나 001파일은 바로 안 열리니까 만만해 보이는 텍스트 파일이나 열어보자! + diskC, diskD 는 로컬 디스크 C, D를 의미한다고 한다. 으음 FTK Imager에서 만들어진 텍스트 파일인가보다. 그리고 무슨 블라블라 소스 들이 있다. 오 아까 보다 뭔가 색다른 정보들이 있다. 일단 case number랑 evidence number..
INDEX.DAT 파일 한 시스템에는 여러 개의 INDEX.DAT 파일이 존재한다. 이 파일은 방문한 URL, 방문 횟수 등 다양한 정보를 기록하고 유지한다. 이런 정보는 숨겨져 있기 때문에 반드시 툴을 이용해야 볼 수 있다. IE에는 히스토리, 쿠키, 임시 인터넷 파일로 3개의 디렉터리가 있다. INDEX.DAT 파일은 각 디렉토리에 있는 정보와 내용을 기록하고 유지하는데 사용된다. > 쿠키 쿠키는 서버에서 클라이언트에 주는 값으로 클라이언트의 웹 브라우저에 저장되어 있는 텍스트 파일이다. 이 쿠키도 INDEX.DAT 파일에서 관리되는데 이 파일에는 URL, 날짜와 시간, 사용자 이름 등이 저장되어 있다. (쿠키에서 웹 주소가 발견되었다 != 실제로 그 사이트에 방문했다) > 임시 인터넷 파일(웹 캐시..
윈도우 OS는 데스트톱 시장의 90%를 차지하기 때문에 대부분의 조사관은 윈도우 OS를 다룰 확률이 높다. 그리고 윈도우 자체에서 데이터를 복원하고 추적하는 기능이 있기 때문에 윈도우 시스템을 잘 알고 있어야한다. 윈도우 시스템의 증거로 사용되는 것들을 몇 가지 짚어보자. * 삭제된 데이터 데이터를 삭제해도 파일을 차지하고 있는 공간이 할당 가능해지는 것이지 그 공간이 초기화 되는 것은 아니다. 즉, 그 공간이 덮어쓰이기 전까지는 삭제한 파일의 정보가 그대로 남아있는 것이다. (파일 카빙: 이를 데이터를 수집하는 작업) * 절전 모드 절전 모드는 총 3가지가 있는데 최대 절전 모드와 하이브리드 절전 모드의 경우 데이터를 하드드라이브에 저장하기 때문에 복원이 더 쉽다. HIBERFILE.SYS 파일에는 이..
[NONamed Wargame] infect writeup
Background FDK imager : 포렌식 작업 중에서 발생할 수 있는 사고를 방지하기 위해 그리고 무결성을 지키기 위해 미디어 이미지를 비트/비트 스트림 단위로 정확히 복사해서 포랜식 이미지를 생성하는 툴이다. 따라서 포렌식을 분석할 때 FDK 이미저를 이용해 포렌식 이미지를 복사해 이 파일을 읽어서 포렌식을 수행한다. frepatch : 윈도우의 프리패칭 기술은 부팅/응용프로그램 실행 시 성능을 향상시키기 위해 구현된 기술이다. 부팅(120초)/응용프로그램(10초)을 모니터링한 뒤 모니터링한 정보를 바탕으로 사용하는 시스템 자원을 프리패치 파일로 만든다. 이렇게 만들어진 프리패치 파일은 재부팅/재실행할 때 미리 저장된 프리패치 파일을 로드 시켜서 속도를 향상시킨다. 프리패치 파일 개수는 최대 ..