일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- Mobile
- upx
- CodeEngn
- 써니나타스
- tar
- crack
- 안티디버깅
- Reversing
- 케쉴주
- Frida
- John the ripper
- Interceptor
- 모바일프로그래밍
- 포렌식
- ZIP
- swing
- 리버싱핵심원리
- K-sheild Jr
- Autoware
- 침해사고대응
- Android
- SW에듀서포터즈
- 디스크
- K-shield Jr 10기
- ctf-d
- shadow
- 파일해시생성
- Multimedia
- disk
- Today
- Total
목록Waregame & CTF/Forensic (58)
물먹는산세베리아
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
문제 1번 문제 파일을 쓰면 된다. 풀이 ▶userassist 최근에 실행한 프로그램 목록, 실행 날짜, 실행 횟수, 실행한 사용자 정보 등을 저장하는 플러그인이다. volatility_2.6_win64_standalone.exe -f "Target1-1dd8701f.vmss" --profile=Win7SP1x86 userassist *profile은 imageinfo 플러그인으로 확인 가능하다. Key 포맷이 .exe 파일이라서 실행파일 위주로 봤는데 그 중 \frontdesk\Download 폴더에 있는 파일을 발견했다. 문제에서 프런트 데스크 직원들의 이메일로 첨부해서 보냈다고 했기 때문에 이메일로 온 것을 다운 받았으면 이 폴더에 있는 게 맞지 않을까 싶었다. 정답
문제 사용도구: volatility(다운로드) 참고1 풀이 vmss, vmem 파일은 volatility 라는 도구로 많이들 분석한다고 한다.(유명한데 나만 몰랐네) 처음에는 vmss가 vmware 파일이라길래 vm으로 열어봤는데 안돼서 당황했다. 분석할 파일을 volatility를 설치한 위치에 옮겨주고 cmd에서 실행하면 된다. ▶ imageinfo volatility_2.6_win64_standalone.exe -f "Target1-1dd8701f.vmss" imageinfo 운영체제, 프로세스, 덤프 시간 등 정보를 확인할 수 있다. 1. profile: Win7SP1x86, Win7SP0x86, Win&SO1x86_23418 2. KDBG 주소 : 0x82765be8L 3. 2015년 10월 9..
문제 풀이 파일을 zip파일로 줘서 다른 문제처럼 와이어샤크에 넣을 필요는 없었고 바로 FTK Imager에서 열었다. /mnt/sdcard에서 열어봤는데 그 중에 Camera에서 사진을 하나 발견했다. 물론 이걸 발견하기까지 다른 데도 많이 열어봄.. (사진 중간만 잘라옴) 처음에는 술 취해서 쓰러진 사진인 줄 알고 별걸 다 찍어놓네 하고 넘겼다. 그러다 pcap 파일을 발견해서 와이어샤크로 다 찾아봤는데 딱히 나오는 건 없었다. 문제를 다시 읽어보니까 실종됐는데 핸드폰을 보냈다? 누가봐도 범인이 보낸건데?? 그리고 Gregory한테 무슨 일이 일어났냐고 물어본 거니까 저 사진이랑 상황이 맞다. -> 쓰러져있음 -> 영어로 뭐라 쓰지.. 동사라던가.. 명사라던가 과거형이라던가.. -> 이렇게 애매한 게..
보호되어 있는 글입니다.
* setupapi.dev.log 파일 참고함 텍스트 로그 헤더 [Device Install Log] OS Version = 10.0.22000 Service Pack = 0.0 Suite = 0x0100 ProductType = 1 Architecture = amd64 [BeginLog] 운영 체제 및 시스템 아키텍쳐 정보 텍스트 로그 섹션 >>> [Enable Device Install]//섹션 머리글 >>> Section start 2022/01/15 00:31:36.002//섹션 머리글 cmd: C:\WINDOWS\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.22000.345_none_04b3f78d4c83ab0f\TiW..
문제 풀이 HxD로 jpg 파일을 열어보면 마지막 단에 Jpeg 파일의 푸터 시그니처(FF D9)가 아닌 값이 들어있는 것을 볼 수 있다. 파일을 제대로 열기 위해서 FF D9를 검색했는데 그냥 바로 옆에 flag가 떡하니 있었다.. 답
문제 풀이 구입을 했다는 건지 아닌 건지.. 사진 하나가 등록금보다 비싸네 문제에서 준 secret 파일을 HxD로 열어보면 파일 시그니처가 50 4B 03 04 즉, zip 파일임을 알 수 있고 맨 밑으로 가 보면 secret.png 파일과, _MACOSX폴더 밑에 ._secret.png 파일이 보인다. 주어진 파일은 본래 zip 파일이기 때문에 .zip 확장자를 붙여준다. 열어보면 HxD에서 본 대로 폴더 하나와 png 파일 하나를 볼 수 있는데 아무래도 png 파일은 HxD로 열었을 때 어딘가 문제가 있을 것 같다. 첫 부분을 보면 헤더 시그니처가 올 자리에 일부가 삭제된 것을 볼 수 있다. PNG 헤더 시그니처 PNG 푸터 시그니처 89 50 4E 47 0D 0A 1A 0A 49 45 4E 44 ..