워게임200 [Disk] X 회사의 재정 정보를 훔치기… 아이유씨가 악성코드를 자신의 컴퓨터로 삽입했다. CFO의 컴퓨터에서 재무자료를 얻고 excel 파일을 검색한다. 설치된 응용 프로그램을 통해 파일에서 정보를 찾을 수 있었다. 추적을 제거하기 위해 악성코드, 이벤트 로그, 최근 파일 목록 다 지웠다. 훔친 파일의 전체 경로와 파일의 크기를 찾아라 CFO는 14:00시에 사무실에서 나갔다. hxd로 열어보니까 37 7A BC AF 27 1C ->7zip 시그니처라네 .7z 붙여서 압축 해제하기( ftk imager로 열어서 파악해도 된다. 하지만 결국엔 압축 해제하긴 해야 함 ) 엑셀을 열어봤다고 해서 Microsoft\Office에 있을 거라고 생각했다. 여기서 바로 속성값으로 대상의 위치를 파악할 수 있다. 하지만 파일 크기를 정확히 파악할 수는 없다... 2021. 11. 15. [Disk] 누군가 부정행위를 했다는... hxd로 열어보니 다음과 같이 나오는 것으로 봐서 zip 파일임을 알 수 있다. zip 파일 구조를 공부했다. https://blog.forensicresearch.kr/3 ZIP File Structure Analysis 이번에 분석해볼 파일구조는 ZIP 파일입니다. ZIP 파일이란? Archive File Format 중 하나로 무손실 데이터 압축 방식을 지원합니다. 여러 알고리즘을 사용하고 있었지만 현재에는 Deflate 알고리즘을 대 blog.forensicresearch.kr 대충 필요한 부분만 요약하면, 전체적인 구조는 다음과 같다. local file header -> local file header signature = 50 4B 03 04 central directory -> centra.. 2021. 11. 15. [Disk] 조개를 찾아 열고, 진주를 찾으십시오. 다운받을 때 오래 걸리는거 보니 ftk imager로 열어야겠다... FAT16의 USB... 파일 시스템을 알 필요는 없고.. clam.ppt 발견 (clam : 조개) 추출해서 열어보았으나 열기 실패... 근데, 저 헤더값을 검색해보니까 ppt와 zip의 파일 구조가 같다고 한다. 그래서 .ppt를 .zip으로 바꿔서 열어보니, 이렇게 확인할 수 있다. [*] 내 개인 ppt로도 해봤는데, 그냥 zip으로 바꾸면 이렇게 정리? 되어 나온다. 저 이상해보이는 image0.gif QR코드처럼 maxicode라고 한다. 2021. 11. 15. [Disk] 우리는 이 바이너리가… strace https://elixir.bootlin.com/linux/v3.14/source/arch/x86/syscalls/syscall_64.tbl syscall_64.tbl - arch/x86/syscalls/syscall_64.tbl - Linux source code (v3.14) - Bootlin # # 64-bit system call numbers and entry vectors # # The format is: # # # The abi is "common", "64" or "x32" for this file. # 0 common read sys_read 1 common write sys_write 2 common open sys_open 3 common close sys_close 4 .. 2021. 11. 15. [Disk] fore1-hit-the-core hxd에서 검색했는데 안나왔다. strings.exe로 살펴봤다. 수상한 문자열을 볼 수 있다. 괄호도 있고... 찬찬히 보면 ...A....L....E....X..... 이렇게 나와있다. 나름 규칙이 있는데, 그 규칙대로 잘라서 보면 플래그를 얻을 수 있다. ALEXCTF{K33P_7H3_g00D_w0rk_up} 툴 사용법 익히는 중이라 하자... 2021. 11. 15. [Disk] 저희는 디스크 이미지를 찾았습니다. ftk imager로 열어보니 그걸로 여는 건 아닌 것 같고.. hxd로 열어보니 다음과 같다. 뭔가 나올때까지 아래로 내려간다. 여기 헤더처럼 보이는 부분 구글링 jpeg의 헤더란다. 확인해보면 footer도 있는 것을 확인할 수 있다. 저 부분부터 긁어서 새로운 파일로 저장한다. 파일 이름은 img.jpeg으로 저장했다. 플래그 등장 2021. 11. 14. 이전 1 ··· 10 11 12 13 14 15 16 ··· 34 다음
