반응형
[DISK Forensic] Please get my key back!
사용도구 : HxD, binwalk, Firmware-mod-kit
파일 타입 확인 불가
HxD로 확인결과, type=firmware라는 문자열이 존재하는 것을 보아, 펌웨어 데이터로 추측
binwalk로 파일을 분석하면 해당 파일이 LZMA(Lempel-Ziv-Markov chain algorithm, 데이터 압축에 쓰이는 알고리즘으로 최대 4GB의 가변 압축 사전 크기를 제공) 방식으로 압축된 SquashFS(리눅스에서 사용되는 읽기 전용 파일 시스템. 주로 임베디드 시스템에서 사용) 데이터 인 것을 확인
펌웨어 이미지를 분석하기 위해 firmware mod kit을 이용
-
firmware mod kit (fmk)설치
-
https://github.com/rampageX/firmware-mod-kit/wiki (필요 라이브러리 설치)
-
https://code.google.com/archive/p/firmware-mod-kit/downloads (fmk download 및 압축해제)
-
# tar xvfz fmk_099.tar.gz
-
fmk 디렉터리로 이동, firmware file 분석
분석완료
binwalk 버전 문제로 extract가 정상적으로 되지 않음
extrant-firmware.sh 수정 (참고 : https://m.blog.naver.com/PostView.nhn?blogId=seok9714&logNo=220773155300&proxyReferer=https%3A%2F%2Fwww.google.com%2F)
기존 라인 (#${BINWALK} -f "${BINLOG}" "${IMG}") 을 주석처리
binwalk -f "${BINLOG}" "${IMG}" 추가
-> 다시 분석 진행 후 정상적으로 완료된 것 확인
분석 후 펌웨어 이미지에 있는 데이터들은 rootfs 디렉터리에 저장됨
key : ewe know, the sh33p always preferred Linksys
디지털포렌식 with CTF
COUPANG
www.coupang.com
반응형
'DFIR > Challenge' 카테고리의 다른 글
| 디지털포렌식 with CTF - [DISK Forensic] 04 (0) | 2020.01.16 |
|---|---|
| 디지털포렌식 with CTF - [DISK Forensic] 05 (0) | 2020.01.16 |
| 디지털포렌식 with CTF - [DISK Forensic] 07 (0) | 2020.01.15 |
| 디지털포렌식 with CTF - [DISK Forensic] 08 (0) | 2020.01.14 |
| 디지털포렌식 with CTF - [Disk Forensic] 09 (0) | 2020.01.10 |