물먹는산세베리아

보호되어 있는 글입니다.

문제 풀이 FD 37 7A 58 5A 00은 XZ 파일의 헤더 시그니처이고, 59 5A는 XZ 파일의 푸터 시그니처이다. XZ파일임을 알아냈기 때문에 확장자로 XZ을 붙여준다. XZ 압축 파일로 만든 후 7zip으로 압축을 풀었는데, 폴더에 들어가보면 파일이 하나 들어 있다. HxD로 열었더니 이번에는 7Z의 헤더 시그니처가 보였다. 이 파일도 좀 전과 마찬가지로 .7z를 확장자로 추가해준다. 이걸 하나하나 다 열기는 힘들 것 같고 그나마 016.7z만 크기가 다른데 마지막 파일이라서 다른 거일 수도 있다. 보통 뭐 하나 크기가 다르면 그거만 파보면 될텐데 7zip으로 열었을 때 압축 전 크기만 나오고, 16을 제외하고는 모두 똑같았다. 마지막 파일이 크기가 다른 거라 뭔가 이게 아닐 거 같아서 그냥 검..

문제 풀이 배점이 높지 않아서 120점.. 디스크 문제긴 해도 도구를 많이 쓰는 문제는 아닐 거 같았다. core 파일을 처음 봤는데 검색해보니까 도중에 중단하면 남는파일? 그런 거 같다 core dump 파일은 리눅스 gdb로 분석해야하는데 포너블도 아니고 120점짜리 문제가 그 정도를 요구할 리는 없다고 생각했다. 그래서 늘 하듯 HxD로 열어서 포맷도 정해져 있겠다 냅다 'ALEXCTF'를 검색했는데 안 나왔다. ㅋㅋㅋ 이렇게 떨어져 있으니까 안 나오지 { 앞에 있는 문자 중 대문자만 뽑으면 ALEXCTF이다. 사이사이에 글자 4개가 있다고 생각하고 }를 만나기 전까지 있는 글자들을 가져와 보면 ALEXCTF{K33P_7H3_g00D_w0rk_up} 정답

문제 풀이 HxD로 열어보면 중간에만 내용이 조금 있고 싹 다 비어있다. 좀 찾아보니까 첫번째 영역을 MBR이라고 한다는데.. 복구를 하더라도 뭔가 좀 흔적이 있어야 할 수 있지 않나?? 내용 없는 거 치고 크기가 좀 커보인다. 그래도 좀 이것저것 써져 있는데에 힌트라도 될 만한 게 있지 않을까 싶어서 쭉 내렸는데 오? JPG파일 헤더 시그니처가 보였다. 그렇다면 당연히 FF D9 푸터 시그니처도 있을 것이다. 라이언 고슬링.. 라이언 구슬링.. 와 재밌따 혹시나 싶어서 넣어봤지만 답은 아니었다. jpg 파일이 여러개 였나 보다. FF D8로 검색하니 4개의 검색 결과가 나왔다. binwalk였나 이거 쓰면 한번에 파일 뭐뭐 있는지 나왔던 거 같은데.. 아예 추출까지 해주는 것도 있었던 거 같고 어쨌든 ..

문제 풀이 [ 사용 도구 ] FTK Imager, HxD(굳이 안써도..) FTK Imager로 zip 파일을 열면 파일 2개 밖에 안 들어있다. 그 중에 out.txt는 사이즈도 작은 만큼 별 내용이 없고, 쓱 봐도 key format인 h4ck1t로 시작하는 문자는 없었다. 그래서 parse에 당연히 있겠다 싶어서 추출(export files)한 뒤 HxD에서 텍스트 문자열 찾기로 바로 찾았다. 정답

문제 풀이 [ 사용 도구 ] Diffimg 겉으로 보기에는 똑같이 생긴 사진 파일이 주어졌다. 리눅스에서 cmp로 돌려봤지만 너무 많은 Hex 값들이 나왔다. cmp diff, comm와 함께 두 파일을 비교할 때 많이 쓰는 명령어이다. 리눅스에서 사용 가능하다. 리눅스 cmp, diff, diff3, comm - 파일 비교 파일을 비교하는 가장 간단한 방법은 cmp, 그리고 보다 자세한 파일비교를 할 때에는 diff, 세개의 파일을 비교하려면 diff3을 이용합니다. 두파일에 대하여 각 행단위 비교를 할 때에는 comm을 이용 webdir.tistory.com 이렇게 푸는 건 아닌 것 같아서 좀 더 구글링을 해본 결과 DiffImg 프로그램을 사용하면 된다고 한다. 좌측 상단에 노란색으로 뭔가가 칠해진..

보호되어 있는 글입니다.

문제 풀이 문제에서 주어진 jpg 파일이다. HxD로 열었을 때 뭔가 수상한 문자열이 들어있는 걸 확인할 수 있었다. h1d1ng_in_4lm0st_pla1n_sigh7 리트어를 쓴 게 아주 수상하다 hiding in almost plain sight 매우 수상하다. 속성에서도 확인할 수 있었다. 정답 정답

문제 풀이 18자리 숫자... 12년도는 맞는 거 같은데 이걸 어떻게 변환하지 Options에서 Auto Detect 64-bit Date/Time Value를 체크해준다. ?? 왜 아니죠 아 UTC +9:00 Convert Date/Time From GMT to Local Time까지 체크하면 된다. 정답

문제 풀이 사용한 툴 FTK Imager, ESEDatabaseView 문제에서 용의자의 인터넷 사용 패턴을 본다고 했으니까 History를 봐야 겠다고 생각했다. C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default\ 보통 위 경로의 History에서 인터넷 사용 기록을 볼 수 있는데 저 경로에 맞는 게 없어서 다른 방법을 찾아봐야 했다. 크롬으로 접속한 게 아닌가? Index.dat 바이너리 파일로, 인터넷 익스플로러로 접속하면 기록되는 파일이다. 방문한 URL, 방문 횟수 등을 기록하고 FTK나 EnCase 도구를 사용해야 볼 수 있다. Windows7 이전 버전에서의 IE9, 또는 그 이하는 Internet Cache, Cookies..