광팔이 보안이야기

dump1.raw.lzma를 다운로드하자 압축을 풀어보니 dump.raw다. 파일의 이름과 확장자가 메모리 덤프 파일이 연상된다. volatility를 이용해 분석해보자 윈도우에 volatility가 설치되어 있지 않아 설치되어있는 리눅스로 넘어가자. volatility는 메모리 포렌식에 정말 유용한 툴이다 나중에 따로 정리해보자. sudo vol.py -f dump1.raw imageinfo를 하면 Win10x64가 나온다. 해당 파일이 윈도우 10 OS의 메모리 덤프 파일인 것을 알 수 있다. 이제 실행 중이던 프로세스 목록을 봐야 하는데 명령어는 pslist가 나온다 많이 나온다 여기서 봐야 할 것은 PID값이 4092인 mspaint.exe(그림판)를 봐야 한다. 다른 것들 몇 개를 봤을 때 플래..

flag 파일을 다운로드하자 일단 자연스럽게 HXD로 열어보았다. 엄청 작은 파일이다. 문제를 자주 풀어봤던 나는 1F 8B 08을 보고 바로 GZ라는 압축파일이라는 것을 눈치챘다. 확장자명을 gz으로 주고 압축을 푸니 flag 파일을 줬다. 플래그 값이 보였다. 플래그 값 : ABCTF{broken_zipper} 여기서 파일 시그니처가 중요한데 내가 자주 보는 사이트가 두개가 있다. http://forensic-proof.com/archives/300http://forensic-proof.com/archives/323 그래픽 파일 시그니처 (Graphic File Signatures) | FORENSIC-PROOF forensic-proof.com http://forensic-proof.com/arch..

hidden.png 파일을 받아보자 일단 자연스럽게 HXD툴을 사용해 열어보았다. 의심스러운 점을 찾을 수 없었다. 문제에 빨간색이 이상해보인다 해서 Stegsolve 툴을 이용하여 Red plane을 0으로 설정하니 플래그를 얻을 수 있었다. 여기서 사용한 StegSolve 툴은 CTF에서 포렌식 문제를 풀이할 때 정말 많은 도움이 되는 툴이다. 꼭 다운받아 놓자 플래그 값 : tjctf{0dd5_4nd_3v3n5}

just_open_it.jpg를 다운로드하여 열 오보자 깨진(?) 듯한 jpg 파일을 얻을 수 있었다. HXD 툴을 이용하여 일단 한번 봤다. 대충 봐서 아무것도 보이지 않았다. Stegsolve를 이용해 아무것도 발견하지 못했다. 시간을 많이 투자하고... 문제를 다시 봤다. KEY Format : ABCTF{(key)}을 보고 혹시나 하는 마음에 HXD에 ABCTF를 검색해보았다. ㅠㅠㅠㅠㅠ 정말 간단한 문제였다. 플래그 값 : ABCTF{forensics_1_tooo_easy?}

hidden.jpg를 다운로드하여 열어보자 다운로드하니 흐릿한 사진이 있었다. 문제가 이미지여서 대충 스테가노그래피 문제라고 예상 했다. 이미지가 정확하게 보이지 않아 아마 밝기 관련된 문제라 추측했다. https://29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 이미지 명암 문제에서 자주 사용하는 사이트이다. 사이트를..