Forensic/CTF (3) 썸네일형 리스트형 Forensic CTF(3) - Find Key(Black) 문제명 : Find Key(Black) 분류 : Multimedia Forensic [*] 문제풀이 환경 -운영체제 : Windows 10x64 -사용도구 : FTK Imager, ssdeep, Autopsy, Hex Editor , TrueCrypt 7.1a 문제풀이 1) 문제 파일을 FTK Imager를 통해 파일을 열어보자. FTK Imager로 문제파일을 확인해보면 volume/root/Black/B(115).jpg 를 확인할 수 있다. 파일의 내용을 보면 Alternate Data Stream 타입의 black.txt 파일을 확인할 수 있다. ADS(Alternate Data Stream) 는 NTFS의 기능으로 파일을 다른 파일에 숨길 수 있다. 결론적으로 B(115).jpg 파일에 black.. Forensic CTF(2) - Find Key(docx) 문제명 : Find Key 분류 : MultiMedia Forensic Hint1 : docx 파일을 비교하시오. Hint2 : Extra_Filed_Entry [*] 문제풀이 환경 -운영체제 : Windows 10x64 -사용도구 : Hex Editor, ooXml, Steganography v4 문제풀이 1) 문제 파일을 열어 확인 파일을 열어 보면 각종 사진들이 있는 것을 알 수 있다. 스테가노그래피 문제에서 흔히 사용되는 확장자 변조를 확인하기 위해서 Hex Editor로 시그니처를 확인해보자. 2) 확장자 변조 확인을 위한 Hex Editor를 이용한 시그니처 확인 시그니처는 [50 4B 03 04] 로 zip 파일의 시그니처와 동일하며, docx는 압축 파일구조를 따르는 문서이다. 그러므로 확.. Forensic CTF(1) - Find Password 문제명 : Find Password 분류 : DiskForensic Hint : ALYSSA 의 계정 Key Format : TEXT [*] 문제풀이 환경 -운영체제 : Windows 10x64 -사용도구 : 반디집, file, pwdump, NTLM 디코더 -문제파일 : forensics.rar 문제풀이 1) 반디집으로 문제파일 압축해제 2) file 명령어로 SAM, SYSTEM 파일의 유형을 확인하자 레지스트리 파일인 것을 확인할 수 있었다. 따라서 레지스트리 파일과 문제의 Hint를 통해 계정 정보에 대해 알아야 한다. ※윈도우 레지스트리 정보 SAM : 윈도우 사용자의 계정 정보와 관리자 비밀번호 등을 저장 SYSTEM : 시스템 부팅에 필요한 시스템 전역 구성 정보 저장 SECURITY : 시.. 이전 1 다음
