TH3 6R3@T H@CK

[문제] [풀이] binned 파일을 실행해보니 다음과 같은 문구가 나왔다. 그래서 파일 유형을 한번 확인해보고자 file 명령어를 입력했다. ▶ file ./binned 파일 유형이 리눅스 실행파일(ELF)임을 확인했다. 구글링을 통해 알아낸, 파일의 동작 과정을 추적하는 strace 명령어를 입력했다. (strace 명령어를 통해 파일의 동작 순서에 따른 시스템 콜을 확인할 수 있다.) ▶ strace ./binned 💡 strace란 애플리케이션들이 사용하는 system call과 signal 등을 추적해서 성능 저하를 일으키는 부분이 있는지, 에러가 나는 부분이 있는지 확인하는 디버깅 툴이다. 다양한 시스템 콜 사이에서 binned 파일을 실행했을 때 (./binned) 봤던 문자열 (Begin ..

[문제] [풀이] 문제 파일을 다운받아 확인해보면 프레임 마다 QRcode가 계속 달라진다. Animated GIF Frame Extractor 툴을 이용하여 프레임 개수를 확인해보니 ▶ 다운로드: https://www.softpedia.com/get/Multimedia/Graphic/Graphic-Others/Animated-Gif-Frame-Extractor.shtml 총 88개의 프레임이 추출되는 것을 확인 할 수 있다. 해당 QRcode 값을 일일이 확인하기에는 프레임 개수가 너무 많아, 88개 프레임의 값을 추출하는 python 코드를 직접 작성했다. (※ https://blog.naver.com/nkj2001/222748501684 참고하여 코드 응용함.) 중복을 제외하고 나열해보면 결과는 다..

[문제] [풀이] id==0인 것들을 보면 ping request, reply로만 이루어졌다. reply는 Type이 0이고, request는 Type이 8이다. 그래서 icmp.type==0과 icmp.type==8로 필터링을 해보았다. ▶ icmp.type==0으로 필터링 💡 ICMP Type : ICMP 메시지 유형을 표기함 Type0 : Echo reply (Echo 메세지의 응답 (ping의 응답)) No. 순으로 정렬한 후 HEX를 ASCII로 변환시키는 코드를 짜봤다. (HEX를 보니 대충 아닌 것 같아 일부만 변환시켰다.) 알 수 없는 문자들이 나열됨을 확인했다. ▶ icmp.type==8로 필터링 💡 ICMP Type : ICMP 메시지 유형을 표기함 Type 8 : Echo reques..

[문제] [풀이] 2013_CodeGate_F300-find_key.docx 파일을 열어보면 3장의 그림이 보인다. hxd로 파일을 열어보면 docx의 파일구조가 압축파일 형태인것을 알 수 있다. 왜냐면 zip과 docx는 모두 헤더가 50 4B 03 04, zip의 중간 헤더는 50 4B 01 02인데, 헤더와 중간 헤더를 확인해보면 모두 zip파일 형태이다. docx파일을 압축한 후, 다시 압축을 풀어준다. 압축을 다시 풀어주는 이유는 혹시 숨겨진 파일이 있을까 싶어서다. 압축을 풀고 확인해보면 여러 image 파일들이 보인다. file 명령어를 통해 확장자들을 확인해보니 image6.emf가 유독 눈에 띈다. 다른 image 파일들은 jpeg, emf의 올바른 파일 형식인 반면, image6.emf..

[문제] [풀이] 주어진 img 파일을 다운받은 후 리눅스 환경에서 file 명령어를 통해 파일 유형을 확인해보니catz.img 파일은 ext4 filesystem이다. 자세히 알아보기 위해 FTK Imager 도구를 통해 마운트한다. 💡 FTK Imager : 포렌식의 가장 기본 도구로, 디스크 이미징 작업에 많이 활용 다운로드 → https://accessdata.com/product-download/ftk-imager-version-4-2-1 cf) 마운트: 하나의 파일을 하나의 드라이브로 인식하도록 붙이는 것 문제 파일을 마운트하면 여러 개의 고양이 사진 파일들을 확인할 수 있다. 문제에서 파일을 삭제했다고 주어졌으므로 삭제된 파일을 복구하면 될 것 같다. ext4 파일 시스템의 삭제된 데이터를 ..

[문제] [풀이] 주어진 파일을 FTK Imager로 열게 되면 디렉터리 구조와 사용자 계정들을 확인할 수 있다. Partition 1에서 Forensic [NTFS] 폴더를 살펴보면 root/Users에서 사용자 계정을 확인할 수 있다. 그 중 Administrator 계정에서 토렌트와 관련된 uTorrent 폴더를 확인할 수 있다. (파일 경로: root\Users\Administrator\AppData\Local\uTorrent) 💡 토렌트란? 인터넷 곳곳에 흩어져 있는 파일들을 찾아서 다운받는 프로그램 쪼개어진 파일들을 조각이라고 표현하고, 다수의 사용자들에게 조각들을 수집해서 하나의 완성된 파일을 받는 형태이기에 불법 다운로드에도 많이 사용되지만, 특성상 단속을 하기 힘들어서 사실상 규제가 힘들..

[문제] [풀이] 압축된 문제파일(blue.txz)의 압축을 풀고 해당 패킷 안의 데이터를 확인하기 위해 binwalk를 이용해 분석하면, png 파일이 은닉되어 있는 것을 확인할 수 있다. 💡 binwalk : 대표적인 펌웨어 분석 툴로, 펌웨어 분석뿐만 아니라 포렌식 시 파일 카빙 등에 사용할 수 있는 유용한 도구 참고) https://github.com/ReFirmLabs/binwalk 좀 더 자세히 분석하기 위해 wireshark로 파일을 연 후 Find Packet(Ctrl+F) - Packet Bytes - png 검색 (Find: String / Filter: png / search in: Packet bytes / Character width: Narrow&wide) 과정을 거치면 283번..