kkamagi.story

Find Key(slack) 사용도구 : sleuthKit 해당 이미지를 FTK Imager로 마운트하여 보았으나, 특이사항 발견하지 못함 -> sleuthKit의 blkls 명령어를 이용하여, 파일시스템 데이터에 key를 숨겨두는 방법(slack 공간)을 이용하지는 않았는지 확인한다. 슬랙공간이란 디스크 섹터에 데이터가 저장되고 남은 데이터 공간이다. 다른 데이터가 디스크에 기록되어도 슬랙 공간에 저장되지 않고 다른 섹터에 저장한다. 그렇기 때문에 이 슬랙 공간은 악성코드나 특정 데이터들을 숨기거나 기록하는데 악용되기도 한다. ubuntu에 sleuthKit을 설치하고 blkls 명령어를 통해 이미지에서 slack space에 숨겨둔 데이터를 분석한다. 41e7dbb0b1678c0c96a0b664501..

[DISK Forensic] Please get my key back! 사용도구 : HxD, binwalk, Firmware-mod-kit 파일 타입 확인 불가 HxD로 확인결과, type=firmware라는 문자열이 존재하는 것을 보아, 펌웨어 데이터로 추측 binwalk로 파일을 분석하면 해당 파일이 LZMA(Lempel-Ziv-Markov chain algorithm, 데이터 압축에 쓰이는 알고리즘으로 최대 4GB의 가변 압축 사전 크기를 제공) 방식으로 압축된 SquashFS(리눅스에서 사용되는 읽기 전용 파일 시스템. 주로 임베디드 시스템에서 사용) 데이터 인 것을 확인 펌웨어 이미지를 분석하기 위해 firmware mod kit을 이용 firmware mod kit (fmk)설치 http://..

판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오. (1~2번 문제파일 : 2012_Secuwave F200.7z) 사용도구 : IE10Analyzer.exe KEY Format : URL(http://aaa.bbb.cccc/) KEY Format : yyyy-MM-dd_hh:mm:ss 브라우저 접속 정보 분석 필요 웹 브라우저 History - 접속URL/접속 횟수/마지막 접속 시간, 접속 페이지 등의 정보가 있음 압축 해제 7ester -..

(A~C번 문제파일 : 2012_Secuwave F100.7z) 이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오. A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? Key format: (yyyy-MM-dd_hh:mm:ss) B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) KEY Format : 1234 C. 리버스쉘(Revers..

A회사 보안팀은 내부직원 PC의 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드 한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부문서의 정보를 찾아 정답을 입력하시오. KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize) ex)2013/03/01&21:00:00_2013/04/03&10:00:50_sample.docx_100MB 사용도구 : Plist Editor Pro v2.5 / FTK Imager / DB Browser for SQLite v3...

경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모..

복구 된 키 이미지 파일의 논리 파일 해시 값은 무엇입니까? (MD5) 사용도구 : FTK Imager, R-Studio, Hex Editor, HashCalc evidence.001 이미지 파일을 FTK Imager 마운트 후 분석 evidence image를 추가 후 파티션 확인 결과 특이한 점은 없으나 비정상 또는 손상된 파티션이 존재하는 것으로 추정됨 R-Studio (하드디스크 복구 프로그램) 다운 및 관리자 권한으로 실행하여, 로컬 컴퓨터 내에 존재하는 이미지를 가상으로 마운트 시켜 확인 Empty Space4에 마우스 우클릭 후 'Scan' Scan을 완료하니 2개의 파일시스템이 확인됨 Recognized0 Recognized1 FTK Imager에서 확인된 파티션과 비교해보면 Recogni..