YeoPEVA

Defcon-2018 File Server - Advanced File info : md5 / sha : (문제 풀이) Advanced1 FTK imager | VSS Hex 값 → 경로 + \\?\GLOBAL.R.O.O.T.\.D.e.v.i.c.e.\.H.a.r.d.d.i.s.k.V.o.l.u.m.e.S.h.a.d.o.w.C.o.p.y.1.\.\.?.?.\.G.L.O.B.A.L.R.O.O.T.\.D.e.v.i.c.e.\.H.a.r.d.d.i.s.k.V.o.l.u.m.e.S.h.a.d.o.w.C.o.p.y.1.\. \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\ Advanced2 vshadowinfo | vss 체크 + → Creation time | Aug 07,..

Defcon-2018 File Server - Basic File info : md5 / sha : (문제 풀이) Basic 1 해당 이미지의 볼륨 시리얼 번호를 물어보는 문제입니다. FTK-imager를 이용해 간단히 풀이가 가능했습니다. Answer : C096-2465 Basic 2 이미지와 같이 동본된, txt 파일을 통해 확인할 수 있습니다. Answer : Professor Frink Basic 3 이미지 누락... | (풀이하던 사진이 누락되어, 텍스트로 대체합니다... ㅠㅠ) 삭제 이벤트 로그 1102 Event ID 존재 X 로그인 흔적 | + 4625 이벤트 ID → 로그인 실패 흔적이 대다수를 차지 4624 이벤트 ID → 로그인 성공 필터링 확인시 mpowers administrat..

Defcon DFIR CTF 2019 Linux Forensic File info : md5 / sha : Defcon DFIR CTF 2019 1. 운영체제를 묻는 문제였습니다. autospy를 이용해 boot 디렉토리를 색인하고 확인하니, kali라는 것을 확인할 수 있었습니다. flag 2. autospy를 사용해, access.log를 뽑아냈습니다. md5 | access.log를 돌린 결과, 위처럼 md5 값을 확인할 수 있었습니다. flag 3. 자격 증명 | 계정 권한과 관련된 도구를 찾는 문제입니다. /root/Downloads 측에 위와 같이 미미카츠가 발견되었습니다. flag 4. super secret file을 제작했다고 해서, root 측에서 .bash_history를 통해, 분석..

Defcon DFIR CTF 2019 Memory Forensic File info : md5 / sha : Defcon DFIR CTF 2019 1. get your volatility on 문제 파일의 SHA1 값을 알아내면 되는 문제. 간단히 shasum을 통해, sha1을 뽑아내고 풀었다. 2. pr0file 여러가지 제안하는 프로파일이 존재하는데 (imageinfo) 이 중, Win7SP1x64 프로파일을 인증했을 경우, 인증이 성공적으로 진행됬었습니다. 3. hey, write this down volatility pslist를 이용해서, pid (프로세스 ID)를 뽑아낸 다음, notepad를 확인해보면 위처럼 notepad PID를 확인할 수 있습니다. 4. wscript can haz c..

Defcon DFIR CTF 2019 Triage Vm File info : md5 / sha : Defcon DFIR CTF 2019 몇몇 문제는 직접 부팅해서 확인하는 특이한..? 방식으로 풀이를 진행했고, 한번 풀다가 잠시 접어두고, 다시 풀고 그래서, 중간에 풀이 방식이 조금 바뀔 수 있습니다. 1. Who's That User? User 이름을 물어보는 문제입니다. 그냥 부팅해서 풀었습니다 [...?] 다른 풀이 : autospy나 ftk 이용해서, SAM 레지스트리 뽑아서, 접근 가능. Answer : flag 2. Thee who logged in last C:\Windows\system32\config 로 접근하여 레지스트리를 뽑아낸 다음, SAM 레지스트리를 분석하면 됩니다. (REGA ..

Defcon-2019 | Deadbox Created: Feb 13, 2020 2:54 AM Tags: Defcon Defcon DFIR CTF 2019 Triage Vm File info : md5 / sha : Defcon DFIR CTF 2019 1. 누가 이미지 (E01)을 만들었는지 물어보는 문제입니다. 같이 포함되어 있는 텍스트 파일 확인을 통해, 간단히 해결할 수 있습니다. flag 2. 사용자가 사용하는 유저의 계정을 묻는 문제였습니다. REGA를 이용해 간단히 풀이할 수 있으며, FTK Imager를 이용해서, C:\Windows\System32\config 측에서 SAM 하이브 파일을 뽑아, 분석하여, 사용자 계정 정보를 체크 flag 3. 1번과 같이, 이미징 작업을 하면서 발생한 로..

Defcon-2019 DF | Crypto Created: Mar 12, 2020 1:29 AM Tags: Defcon Defcon-2019 DF Crypto | Are you ready for this? File info : md5 / sha : (문제 설명) DFA.png를 통해, flag를 알아내는 문제입니다. (문제 풀이) 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 CHAMPLAIN COLLEGE 먼저 16진수를 적어 주고... 한번 strings 쪽 통해서 돌려봤는데, 그럴싸한 정보는 없었습니다. 16진수 → poqddhhn | rot13? 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 hex → rot13 (13) → 비즈네르 암호 (Audeamus)..

분석 결론 및 추정 | 상세 타임라인 그레그 샤르트 [Greg Schardt / Mr .Evil] IP = 192.168.1.111 MAC=0010a4933e09 피해자 IP = 192.168.254.2 Mozilla/4.0 | Windows 그레그 샤르트 관련 그레그 샤르트의 악의적인 행의를 증명해야함 악의적인 프로그램과 관련된 흔적 / 아티팩트 인터넷 트래픽 | 피해자와 관련된 정보 무선 액세스 포인트 | 수집 흔적 [증명] 노트북에 설치된 악의적인 프로그램 및 실행 흔적 존재 Ethereal / Look@LAN 을 이용해, 트래픽 수집 흔적 존재 배운 점 및 느낀 점 + 레지스트리 분석시 REGA를 이용해서 분석을 진행했는데, regripper가 상당히 편하다는 것을 알게됨 IRC 분석 및 grep..

각 항목 정답 및 풀이 16. Find 6 installed programs that may be used for hacking. [해킹에 사용될 수 있는 6개의 설치된 프로그램을 찾아라.] 공격자 IP 은닉 Anonymizer Bar 2.0 Wifi 탐색 NetStubler Network 정보 수집 Look&LAN_1.0 (network discovery tool) Ethereal (packet sniffer) Password Cracking Cain & Abel v2.5 beta45 (password sniffer & cracker) 123 Write All Stored Passwords (finds passwords in registry) 17. What is the SMTP email addres..

각 항목 정답 및 풀이 1. What is the image hash? Does the acquisition and verification hash match? (ftk, md5) [SCHARDT.001 ~ 008 | DD image] → wget을 통해 바이너리 다운로드 MD5 값 일치 확인 완료 FTK Drive/image Verify를 통해, 해쉬 값 검증 및 컴퓨터 해쉬, 해쉬 일치 확인 가능. 2. What operating system was used on the computer? (레지스트리) 레지스트리 파일 추출 및 RegRipper를 이용한 리포트 체크 위의 총 4가지 레지스트리를 추출하여, RegRipper를 이용해 분석 진행 software REG | winver, win_cv (re..