전체 글345 [Disk] 범죄자는 자신의 인생을... foremost -t jpg FCCU_E.dd -> FCCU_E.dd에서 jpg 파일만 추출(앞 뒤의 이상한 값 ex. 0x00 같은 값을 잘라준다.) dd if=test.jpg count=3000 > result.jpg -> 3000 섹터만큼 복사해서 result.jpg 생성 dd if=test.jpg count=3000 skip=6000 >> result.jpg -> 6000섹터 위치부터 3000섹터만큼 복사해서 result.jpg에 덧붙임 dd if=test.jpg count=3562 skip=12000 >> result.jpg -> 12000섹터 위치부터 3562섹터만큼 복사해서 result.jpg에 덧붙임 md5sum result.jpg -> 답 난 처음에 hxd로 jpg 헤더 앞의 더미값을 다.. 2021. 11. 17. [Disk] 플래그를 얻고 싶지만 그럴 수 없다. MFT Header Entry의 Signature라는 것을 알 수 있다. 그렇다면, 섹터 2개로 되어있으니 MFT Entry가 맞겠군.... MFT Entry 분석을 통해서 attribute content를 알아낸다. MFT Entry 구조 MFT Entry - MTF Entry Header 구조 MFT Entry - Attribute Header 구조 resident flag로 판단됨. MFT Entry - resident flag의 attribute header 구조 MFT Entry Header - Attribute Type ID 값 80 -> $DATA attribute 찾기 5A -> attribute 내용 크기 18 -> attribute 내용 시작 위치 그래서 이미지 파일 내부 데이터가 아래.. 2021. 11. 16. [Disk] Please get my key back! ftk imager로도 안열리고.. hxd로 헤더 검색해도 아무것도 안나온다....... 그냥 data란다.... type=firmware라는 의미심장한 문자열,,, binwalk - 대표적인 펌웨어 분석 툴 - 펌웨어 분석 뿐만 아니라 포렌식 시 파일 카빙 등에 사용 할 수 있는 유용한 툴 [ 출처 : https://pororiri.tistory.com/entry/%ED%8E%8C%EC%9B%A8%EC%96%B4%EB%B6%84%EC%84%9D-%ED%8E%8C%EC%9B%A8%EC%96%B4-%EB%B6%84%EC%84%9D-%ED%88%B4-binwalk-%EC%82%AC%EC%9A%A9%EB%B2%95 ] Now, we know, this is a classical firmware file. So.. 2021. 11. 16. [Disk] 서울에 사는 IU가 특정 웹... hxd로 열어보니 7z이다. .7z 붙여서 압축 해제 했더니 윈도우 사용자 폴더 등장 뒤져보니까 브라우저는 firefox, internet explorer, chrome이 있는 것 같다. 그 중 firefox 뒤져보다가 sesseionstore.js가 "파이어 폭스 브라우저가 비정상적으로 종료가 될 때 그 시점의 상태 정보가 저장되는 파일"이라는데 어떻게 아냐고 sql 문 발견 timestamp 변환 1_UNI/**/ON_SELECT|2012-02-12T10:23:17 2021. 11. 16. [Disk] 데이터센터 중 하나가 정보의... Thumbs.db -> thumbs viewer로 열면 플래그 확인가능 2021. 11. 16. [Disk] 경찰청은 최근 아동 성폭력... 아동 음란물 다운 받은 사람 검거, 저장매체 분석해보니 아동 음란물은 완전 삭제되어 있었다. 경찰은 분명 이 사람이 아동 음란물 다운받은 것을 트래픽 모니터링을 통해 확인했다. 증거만 있음 된다. ftk imager로 열어서 뒤져보다가 utorrent 발견 뭔가 느낌상 비디오 다운받는?? 것 같다. utorrent settings.dat 구글링하니까 환경 설정 파일이라고 한다. settings.dat을 추출해서 bencode-editor 로 확인 (이런 툴은 어떻게 알아내는거야....) 해당 위치로 가서 파일 추출 다운로드 시간 확인 => 2012/12/24_13:45:43 HashCalc로 해당 파일의 md5값 추출 답 NTFS 파일 시스템을 공부하기도 했고.. analayzeMFT를 사용해서 $MFT.. 2021. 11. 15. 이전 1 ··· 21 22 23 24 25 26 27 ··· 58 다음
