DigitalForensic (14) 썸네일형 리스트형 [CTF-d] Network_DefCoN#21 #6 악성 페이로드의 용량을 구하는 문제이다. 페이로드(payload): 페이로드는 사용에 있어서 전송되는 데이터를 뜻한다. 페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다. 컴퓨터 보안에서 페이로드는 멀웨어의 일부를 뜻한다. 웜, 바이러스, 트로이목마 같은 해로운 소프트웨어를 분석할 때 페이로드는 그 소프트웨어가 주는 피해를 뜻한다. 예를 들어 페이로드에는 데이터 훼손, 스팸메일, 개인정보를 알아내기 위해 다수에게 보내는 이메일 등이 있다. 즉 페이로드는 전송 행위의 본래 의도를 뜻한다. 출처:위키피디아 round6.pcap을 먼저 wireshark로 살펴보았다. POP 프로토콜이란 것이 있어서 찾아보았다. 포스트 오피스 프로토.. [CTF-d] Network_DefCoN#21 #5 먼저 round5.zip 파일을 압축해제해 보니 Dump 폴더와 log.txt 파일이 있고, Dump 폴더 안에는 cache, data, wifi, rc 등 여러가지 파일이 있었다. dump: 기억장치의 내용을 전부 또는 일부를 인쇄하여 출력하는 것 dump 파일: 프로그램 디버그 또는 시스템 테스트의 목적을 위해 기록되는 파일 먼저 log.txt파일을 살펴보았다. dump_android.cpp compiled , dump_android_fs.cpp compiled 등의 문자가 있는 것으로 봐서 앞에 있던 dump 폴더는 배달 온 휴대폰의 덤프파일이라고 추측할 수 있었다. Dump 폴더안에 HWUserData에 해당 휴대폰 주인의 데이터가 있을것이라고 생각되어서 확인해 보았다. 아래와 같이 pcap 파일.. [CTF-d] Multimedia_오른쪽 위의 표지판을 읽을 수... 이 문제는 F100.png 사진을 선명하게 하는 것이다. 먼저 F100.png 사진을 보면 아래와 같이 엄청 뿌옇게 되어있다. 사진을 선명하게 하기 위해 사진 편집툴을 찾아보았다. 아래 사이트에서 SmartDeblur 프로그램을 다운받을 수 있다. http://smartdeblur.net/download.html SmartDeblur - Download smartdeblur.net 위 프로그램으로 F100.png를 열어서 이것저것 만져 사진을 선명하게 만들었다! key: Coxsackie [CTF-d] Network_DefCoN#21 #4 4라운드의 문제는 Betty의 동료들이 Gregory에 제공한 비밀번호를 찾는 문제이다. 일단 round4.pcap 파일을 와이어샤크로 확인해 보았다. 3라운드에서 사용했던 방법과 같이 File -> Export Objects -> HTTP 에서 통신을 했을것이라고 추측할 수 있을만한 증거를 찾다가 mail.aol.com 이라는 호스트 이름을 발견했다. 구글에 mail.aol.com을 쳐보니 AOL이 제공하는 웹 기반 메일 서비스 임을 알 수 있었다. 그래서 289번째 패킷의 TCP Stram을 확인해 보았는데 내용이 어떻게 인코딩 되어있는건지도 모르겠고 해서 NetworkMiner에 round4.pcap 파일을 넣어보았다. 그랬더니 바로 Messages 부분에서 Betty가 Greg에 보낸 메일내용을 .. [CTF-d] Network_DefCoN#21 #3 3번 문제는 Gregory가 Betty를 만나지 못한다면 어떻게 죽게 되는지를 찾는 문제이다. 먼저 round3.pcap 파일을 와이어샤크로 열어보았다. 무작정 스크롤을 내려보다가 MP4라는 문자를 발견했다! 무작정 스크롤 내려서 확인하는 방법 말고도 File -> Export Objects -> HTTP 에서 http로 주고받은 파일이 나열되는 것을 볼 수 있다. 다시 돌아가서 아까 발견한 패킷의 해당 패킷의 TCP Stream을 확인해 보았다. 아래 사진에서 확인할 수 있듯이 , ....ftyp 같이 MP4 관련된 문자열이 존재하는 것을 알 수 있다. 여기서 ....ftyp는 MP4 파일의 시그니처이다. 따라서 해당 스트림 안에 VID_20130705_145557.mp4 파일을 숨겨놓은 것이라고 추측.. [CTF-d] Network_DefCoN#21 #2 WireShark에서 round2.pcap 파일을 열어서 IRC 프로토콜을 사용한 패킷을 먼저 찾아보았다. IRC(Internet Relay Chat) : 실시간 채팅 프로토콜로 여러 사용자가 모여 대화를 나눌 수 있다. (위키백과) IRC 를 검색해서 나온 패킷들을 하나씩 살펴보다가 제일 마지막에 betty: Message to D34thM3rch4n t blocked: Please find another way to transfer your file 이라는 메시지를 발견했다. 그래서 6780번째 주변의 패킷들도 살펴보았다. 6783번째에 betty!~ 라면서 메시지가 있는 것을 또 확인할 수 있다. 해당 줄의 tcp stream을 따라가 보니 betty!~secret2@7FF07A37.29E7D414.. [CTF-d] Multimedia_Find Key(butterfly) 사진속에서 key를 찾는 문제이다. 사진의 속성을 먼저 확인해 보았다. LSB 스테가노그래피가 주로 24비트 이미지 파일에 적용된다는 것이 기억나서 LSB 스테가노그래피 해독하는 사이트에 해당 파일을 넣어보았다. 스테가노그래피: 사진, 음악, 동영상 등의 일반적인 파일 안에 데이터를 숨기는 기술 LSB 스테가노그래피: 이미지를 변조하여 데이터를 숨기는 방법. 최하위 비트인 LSB를 변조, 주로 JPEG, BMP같은 24비트 이미지파일에 적용됨 https://incoherency.co.uk/image-steganography/#unhide Image Steganography Each channel (red, green, blue) of each pixel in an image is represented b.. [CTF-d] Network_DefCoN#21 #1 해당 문제는 pcap 파일에 있는 정보를 사용해 회의가 예정된 요일을 찾는 문제이다. wireshark를 이용해 파일을 살펴보았다. 무작정 한 줄 한 줄 눌러서 확인해보던 중 7번째 줄에서 Hi Greg:) 라는 문자열이 보여 해당 줄의 TCP 스트림을 따라가 보았다. betty!~blah 이후로는 html로 인코딩 되어있는것 같아 디코딩 사이트에서 디코딩 했다. https://www.convertstring.com/ko/EncodeDecode/HtmlDecode HTML을 디코드 - 온라인 html로 디코더 www.convertstring.com 회의가 예정된 요일은 수요일이란 것을 확인할 수 있다. 나중에 확인해 보니 IRC 프로토콜이 실시간 채팅 프로토콜이어서 이 프로토콜을 알았으면 바로 검색해서 .. 이전 1 2 다음
