물먹는산세베리아

문제 풀이 문제에서 주어진 jpg 파일이다. HxD로 열었을 때 뭔가 수상한 문자열이 들어있는 걸 확인할 수 있었다. h1d1ng_in_4lm0st_pla1n_sigh7 리트어를 쓴 게 아주 수상하다 hiding in almost plain sight 매우 수상하다. 속성에서도 확인할 수 있었다. 정답 정답

문제 풀이 18자리 숫자... 12년도는 맞는 거 같은데 이걸 어떻게 변환하지 Options에서 Auto Detect 64-bit Date/Time Value를 체크해준다. ?? 왜 아니죠 아 UTC +9:00 Convert Date/Time From GMT to Local Time까지 체크하면 된다. 정답

문제 풀이 사용한 툴 FTK Imager, ESEDatabaseView 문제에서 용의자의 인터넷 사용 패턴을 본다고 했으니까 History를 봐야 겠다고 생각했다. C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default\ 보통 위 경로의 History에서 인터넷 사용 기록을 볼 수 있는데 저 경로에 맞는 게 없어서 다른 방법을 찾아봐야 했다. 크롬으로 접속한 게 아닌가? Index.dat 바이너리 파일로, 인터넷 익스플로러로 접속하면 기록되는 파일이다. 방문한 URL, 방문 횟수 등을 기록하고 FTK나 EnCase 도구를 사용해야 볼 수 있다. Windows7 이전 버전에서의 IE9, 또는 그 이하는 Internet Cache, Cookies..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

문제 1번 문제 파일을 쓰면 된다. 풀이 ▶userassist 최근에 실행한 프로그램 목록, 실행 날짜, 실행 횟수, 실행한 사용자 정보 등을 저장하는 플러그인이다. volatility_2.6_win64_standalone.exe -f "Target1-1dd8701f.vmss" --profile=Win7SP1x86 userassist *profile은 imageinfo 플러그인으로 확인 가능하다. Key 포맷이 .exe 파일이라서 실행파일 위주로 봤는데 그 중 \frontdesk\Download 폴더에 있는 파일을 발견했다. 문제에서 프런트 데스크 직원들의 이메일로 첨부해서 보냈다고 했기 때문에 이메일로 온 것을 다운 받았으면 이 폴더에 있는 게 맞지 않을까 싶었다. 정답

문제 사용도구: volatility(다운로드) 참고1 풀이 vmss, vmem 파일은 volatility 라는 도구로 많이들 분석한다고 한다.(유명한데 나만 몰랐네) 처음에는 vmss가 vmware 파일이라길래 vm으로 열어봤는데 안돼서 당황했다. 분석할 파일을 volatility를 설치한 위치에 옮겨주고 cmd에서 실행하면 된다. ▶ imageinfo volatility_2.6_win64_standalone.exe -f "Target1-1dd8701f.vmss" imageinfo 운영체제, 프로세스, 덤프 시간 등 정보를 확인할 수 있다. 1. profile: Win7SP1x86, Win7SP0x86, Win&SO1x86_23418 2. KDBG 주소 : 0x82765be8L 3. 2015년 10월 9..

문제 풀이 파일을 zip파일로 줘서 다른 문제처럼 와이어샤크에 넣을 필요는 없었고 바로 FTK Imager에서 열었다. /mnt/sdcard에서 열어봤는데 그 중에 Camera에서 사진을 하나 발견했다. 물론 이걸 발견하기까지 다른 데도 많이 열어봄.. (사진 중간만 잘라옴) 처음에는 술 취해서 쓰러진 사진인 줄 알고 별걸 다 찍어놓네 하고 넘겼다. 그러다 pcap 파일을 발견해서 와이어샤크로 다 찾아봤는데 딱히 나오는 건 없었다. 문제를 다시 읽어보니까 실종됐는데 핸드폰을 보냈다? 누가봐도 범인이 보낸건데?? 그리고 Gregory한테 무슨 일이 일어났냐고 물어본 거니까 저 사진이랑 상황이 맞다. -> 쓰러져있음 -> 영어로 뭐라 쓰지.. 동사라던가.. 명사라던가 과거형이라던가.. -> 이렇게 애매한 게..

보호되어 있는 글입니다.