목록#Forensic (41)
YeoPEVA
Defcon-2019 | Deadbox Created: Feb 13, 2020 2:54 AM Tags: Defcon Defcon DFIR CTF 2019 Triage Vm File info : md5 / sha : Defcon DFIR CTF 2019 1. 누가 이미지 (E01)을 만들었는지 물어보는 문제입니다. 같이 포함되어 있는 텍스트 파일 확인을 통해, 간단히 해결할 수 있습니다. flag 2. 사용자가 사용하는 유저의 계정을 묻는 문제였습니다. REGA를 이용해 간단히 풀이할 수 있으며, FTK Imager를 이용해서, C:\Windows\System32\config 측에서 SAM 하이브 파일을 뽑아, 분석하여, 사용자 계정 정보를 체크 flag 3. 1번과 같이, 이미징 작업을 하면서 발생한 로..
Defcon-2019 DF | Crypto Created: Mar 12, 2020 1:29 AM Tags: Defcon Defcon-2019 DF Crypto | Are you ready for this? File info : md5 / sha : (문제 설명) DFA.png를 통해, flag를 알아내는 문제입니다. (문제 풀이) 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 CHAMPLAIN COLLEGE 먼저 16진수를 적어 주고... 한번 strings 쪽 통해서 돌려봤는데, 그럴싸한 정보는 없었습니다. 16진수 → poqddhhn | rot13? 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 hex → rot13 (13) → 비즈네르 암호 (Audeamus)..
분석 결론 및 추정 | 상세 타임라인 그레그 샤르트 [Greg Schardt / Mr .Evil] IP = 192.168.1.111 MAC=0010a4933e09 피해자 IP = 192.168.254.2 Mozilla/4.0 | Windows 그레그 샤르트 관련 그레그 샤르트의 악의적인 행의를 증명해야함 악의적인 프로그램과 관련된 흔적 / 아티팩트 인터넷 트래픽 | 피해자와 관련된 정보 무선 액세스 포인트 | 수집 흔적 [증명] 노트북에 설치된 악의적인 프로그램 및 실행 흔적 존재 Ethereal / Look@LAN 을 이용해, 트래픽 수집 흔적 존재 배운 점 및 느낀 점 + 레지스트리 분석시 REGA를 이용해서 분석을 진행했는데, regripper가 상당히 편하다는 것을 알게됨 IRC 분석 및 grep..
각 항목 정답 및 풀이 16. Find 6 installed programs that may be used for hacking. [해킹에 사용될 수 있는 6개의 설치된 프로그램을 찾아라.] 공격자 IP 은닉 Anonymizer Bar 2.0 Wifi 탐색 NetStubler Network 정보 수집 Look&LAN_1.0 (network discovery tool) Ethereal (packet sniffer) Password Cracking Cain & Abel v2.5 beta45 (password sniffer & cracker) 123 Write All Stored Passwords (finds passwords in registry) 17. What is the SMTP email addres..
각 항목 정답 및 풀이 1. What is the image hash? Does the acquisition and verification hash match? (ftk, md5) [SCHARDT.001 ~ 008 | DD image] → wget을 통해 바이너리 다운로드 MD5 값 일치 확인 완료 FTK Drive/image Verify를 통해, 해쉬 값 검증 및 컴퓨터 해쉬, 해쉬 일치 확인 가능. 2. What operating system was used on the computer? (레지스트리) 레지스트리 파일 추출 및 RegRipper를 이용한 리포트 체크 위의 총 4가지 레지스트리를 추출하여, RegRipper를 이용해 분석 진행 software REG | winver, win_cv (re..