pouerccat의 등록된 링크

키자드에 등록된 총 163개의 포스트를 확인하실 수 있습니다.

Naver Blog

Sans Network Forensic [Puzzle 2] #1~6 writeup

여기 사이트의 문제는 참 좋게 만든것 같다.ㅎ이번에도 간단하게 문재 정리.1. ann의 이메일 주소는?2. 이메일 비밀번호는?3. 애인의 이메일 주소는?4. 애인에가 가져오라고 시킨 2가지 물건은?5. 첨부파일의 이름은?6. 첨부파일의 md5 해쉬 값7. 만나기로 한 장소는?파일을 열어보면 역시 평범한 캡쳐 파일같은데..조금만 내려보니.. smtp 이메일 통신을 했음을 확인 할 수 있다.해당 스트림을 follow해보면.. 위와같이 나오는데. 뭔가 인증과 관련된 것을 base64로 주고 받는 것을 알수 있다.해당부분 복사해서. 간단하게 노트패드를 이용해 복호화해보니. id와 비밀번호가 들어난다 ㅋㅋㅋ ㅎㅎ모든 메일을 follow하면 좋지만 귀찮으니 도구.......

원문보기 내부링크
Naver Blog

Ali Hadi Case1 -Web Server Case write up(웹 해킹 분석)

메모리,디스크포렌식 문제들을 풀어보고 싶어서 돌아다니던 도중 재미있는 사이트를 발견하였다!문제주소 : https://www.ashemery.com/dfir.html5개의 문제가 존재했는데 5개 다 성의껏 재밌게 시나리오를 그려 만든문제인것 같아 풀어보기로 마음먹었다. ㅎ거두 절미하고 문제를 보자..ㅎ흠.. 회사의 웹서버에서 뭔가 행위를 당했는데. 메모리와 디스크 이미지를 가지고 알아보라는 문제다. 간략하게 정리하면 .1. 공격자가 어떤 행위를 수행했는가?2. 공격자가 사용자 계정을 몇개 추가했는가?3. 공격자가 남긴 흔적이 무엇인가?4. 어떤 소프트웨어가 설치되었나, 그리고 공격자가 설치한건가?5. 메모리포렌식을 통해 어떤 쉘코드가 사용되었는.......

원문보기 내부링크
Naver Blog

[CTF-D] 경찰청은 최근 아동 성폭력...

기소하였는데. 증거를 찾아 달란다.. 파일명을 보니 2013코드게이트 문제였던듯..? 한번풀어보자해당 파일 다운 받아서 열어보면 레지스트리관련 아티펙트는 제거되어있는 상태.. ㅠㅠ 그래서 꿩 대신 닭 어떤 유저가 있는지 확인해 봤다.가장 눈에 띄는건 Codegate로 되어있는 유저였는데..Codegate유저의 Ntuser.dat 아티펙트는 살아 있어 분석을 위해 열어보았는데..위와같이 LNK나 레지스트리 실행목록에서 특이 점을 발견할 수 없었다.. (의도적으로 삭제한건가..?)좌절...ㅜㅜ 그래서 더뭐가없나 확인하는중..Administrator 계정은 보지 않아서 들어갔는데..의도적으로 NTUSER.DAT을 지운 흔적과 LNK 및 각종 아티펙트를 지운 흔적이 존재.......

원문보기 내부링크
Naver Blog

[Otter ctf] USB Or Not To Be

Morty 가 사고로 파일을 포탈건으로? 삭제했단다.. 뭔소리야..ㅎㅎ 일단 다운받아서 확인해보자해당 파일 다운받아서 ftk imager로 열라고하니.. 열리지가 않는다. 엥? img파일아닌가..?하고 확인해보니..fat32의 MBR 시그니처다.. 맞는데..?뭐가 잘못된건가 싶어서...Sleuthkit으로 확인해보니..똑같이 이미지의 섹터는 확인가능한대..근대 mmls로 파티션이 잡히지 않는다.. 왜지..? 모르겠다..ㅜ그래서 fsstat으로 확인해보면. 정상적으로 파일시스템 구조가 보인다.. 근대 fat 컨탠츠는 왜안보이는걸까..?아시는분이 있으면.. 답변좀.. 일단 FLS로 해당 이미지 파일 확인해보니 지운파일들이 6개 가 존재한다.혹시나 더있을지 모르니..위와같.......

원문보기 내부링크
Naver Blog

[Otter ctf] Otter Leak - Write up

Otters(수달)이 정보유출을 하는것을 발견했다..유출된 데이터를 찾아봐라라는 문제다.열어서 보면.. SSH로 통신한 흔적들이 존재한다.SSH통신 버전도 높고.. 내가 멍청한건지.. 어떻게해야할지 감이 안잡혔다.ㅜㅜ그래서 Conversation을 확인해보니 443,139,445와 같은 포트로 통신한 흔적도 발견할 수 있었다.443(HTTPS)는 특별하게 볼게 없었다.그래서 139,445를 확인해보니..내려가보니 SMB로 많은 통신을 한흔적을 발견할 수 있었는데.. 특이하게..Data를 1byte를 계속 요청하여 받은것을 알 수 있다..그리고 follow해보면 위와같이 많은 jpg를 요청하고 있으니.. 추출해서 봐야될거 같았다.다 추출해도 되는데 귀찮으니.. Network Miner Go.......

원문보기 내부링크
Naver Blog

Sans Network Forensic [Puzzle 3] #1~8 writeup

1~8번까지 연결되어있는 문제이다.주어진 시나리오를 확인해보면AppleTV의 IP주소는 192.168.1.10인것으로 알 수 있다.가장먼저 Pcap파일을 wireshark로 열어봤다.별다른 문제없이 위에서 제공된 IP를 통해 MAC주소를 얻을 수 있었다.플래그 제출.다음. 2번이다. HTTP에서 어떠한 User-Agent를 사용했는가?간단하게 follow http stream을 이용하여서 위와같이 뽑았다.뽑은 자료곳에서 user-agent를 플래그 제출하면 끝3번은 독특했다. 검색 내용 4개를 찾으란다..흠.. 가장먼저 http프로토콜로 정리를 해서 요청 url 별로살펴보니 위와같이 의심스러운 c2라는 파라미터로 뭔가를 요청하는 것을 알 수 있다.파라미터별로 쭉 뽑아내도 되지만 tshar.......

원문보기 내부링크
Naver Blog

Sans Network Forensic [Puzzle 4] #1~6 writeup

X라는 인물이 연구시설을 공격하였고, 어떤식으로 공격했는지 캡쳐파일을 통해 알아내면 된다.흠..1번이라.. 열자마자 너무 쉬웠다.. 한IP에서 포트스캐닝을 시도한 것이 확인이 되어 해당 IP를 플래그 제출하였다.어떤 포트스캐닝을 시도하였는가? 라는 문제다. 위의 공격중 XMAS같은 스탤스 스캔은 아닌것으로 알 수 있는데.. 좀 일단 답부터 말하자면..위와같이 TCP Connect 스캔을 시도한것을 알 수 있다. 그 이유는 3way hackshacking을 할때 열린 패킷으로 응답이 왔을때 RST +ACK를 같이 첨부하여 송부하는 것을 보면 알 수 있다.초보자가 스캔을 한 것 같은데..? 저렇게 로그를 많이 남기다니.ㅎㅎ다음은 목표로하는 IP이다.와이어 샤크.......

원문보기 내부링크
Naver Blog

Sans Network Forensic [Puzzle 1] #1~6 writeup

위에 가 문제이다. CTF-D에서 문제를 풀어보다가 상당히 좋은 문제들이 있는것 같아서 따로 찾아가 풀기로 해서, 문제를 구했다. * 간단하게 정리1. ANN'S 친구이름은?2. 첫번쨰 대화 내용은?3. ANN이 준 파일 이름은?4. 해당 파일 Magic number는?5. 해당 파일 md5 값은?6. 비밀 레시피는 뭐냐?문제 주소 : http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim일단 해당 문제파일을 다운받아보면.,흠.. 패킷의 양이 많진 않은대 난잡하게 캡쳐가 되있음을 알 수 있다.보기 귀찮아서.. 따른 도구를 활용해서 보니. 이메일 프로토콜을 활용해서 각 프레임별로 대화를 나눴음을 확인할 수 있다.해당 프래임 번호 따라가보면 SSL 통.......

원문보기 내부링크
Naver Blog

[CTF-D] flagception

문제를 보자마자 깃발에 뭔가 있다는 것을 알 수 있다. ㅎ깃발을 중심으로 살펴보자.사진을 열어보면 평범한 깃발이 존재한다.스테고솔브로 여리저리 돌려봤는데.. 깃발에서 이상한게 보인다.확대해서 보면... 뭔가 흰검흰검 반복.. 흠..여기서 막혔었는데 조언을 얻어서.. 흰색이 0 검은색이 1이라는 것을 알아냈다.이진법인데 문자열로 표현할려면 8비트가 필요하니까.. 앞에 흰색도 포함해야 겠다.그냥 풀면 재미없으니 파이선으로 풀어보자.위와같이 입력하고 돌리면 이쁘게 플래그가 출력이된다.끝

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-17

새로운 PC의 메모리 덤프 파일을 제공한다. 이전의 PC에서 측면 이동을 통해서 이피시로 들어 왔던 것을 확인했었지.. ㅎㅎ 여기서도 무슨 행위를 했는지 분석해보자!* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt .......

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-18/19

흠.. 파일을 암호화 했댄다. 그렇다면 망간이동을 하였고 어떤 도구로 암호를 했을까..? 보면 되겠지.근데 아까 추출해놓은 cmdscan에서 무언가를 본것 같았는데..?* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # .......

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-20

이전과 동일한 패턴이 반복되는 줄알고.. 쉽네.. 라고 생각했는데,...? 일단 풀어보자.* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # ‘pslist’와 ‘psscan’를 비교 은닉된 프로세스를 찾을 수 있음.volatlity .......

원문보기 내부링크
Naver Blog

Suninatas_Forensic-29번 문제

거두절미하고 문제를 풀어보자.대충 요약해보자면 키로거가 있고 키로거의 위치와 어떠한 곳에서 피싱을 당했냐는 내용이다.파일을 다운받으면 위와같이 빈파일로 3.0GB 정도의 파일을 제공받는다.패당 파일 바이너리로 열어보면... egg 시그니처를 가지고 있다. 이름을 .egg 파일로 바꾸면..위와같이 vmware로 운영체제를 제공해준다.^^자 이제 vmdk를 이용하여서 분석 진행해보자.가장먼저 피싱을 당했다고 하니 생각나는건 host파일이었다.가장 기초적인 피싱방법이기도 하고.. 혹시나 해서 들어가 봤더니... 빙고,,!위와같이 host 파일에 주석으로 키를 제공해준다.^^;* host 파일 경로 : C:\Windows\System32\drivers\etc 만약 여기서 안.......

원문보기 내부링크
Naver Blog

Suninatas_Forensic-29번 문제

거두절미 메모리 덤프를 제공.. 당연하게 풀어야겠찌..* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # ‘pslist’와 ‘psscan’를 비교 은닉된 프로세스를 찾을 수 있음.volatlity -f [파일명] --profile=[운영.......

원문보기 내부링크
Naver Blog

[CTF-D] lol team이라는 의심스러운 팀이 있습니다.

문제를 보자마자..ㅎㅎ 리그오브레전드가 떠오른건 .. 아직 게임에 헤어나오질못해서 그런거겠징..스니핑을 했다고 한다. 한번 받아보자와이어 샤크로 열어보면 아주 간단하게. follow HTTP 스트림으로 잡아낼수 있다.비밀번호를 암호화하여 보내지 않다니 아주 평범하군. 근대 보면 URL 인코딩이 되어있으니.위와같이 복호화 하여서 플래그로 제출하자.

원문보기 내부링크
Naver Blog

[CTF-D] 당신은 캡처 파일에서 플래그를 찾을수 있는가?

별다른 힌트는 없지만 파일명이 easy인거보니.. easy 하겠지..?ㅎㅎ파일을 열어보면. 그냥 보자마자. 한 아이피와의 통신 밖에 하지 않는다는 것을 알았고, 뭔가 데이터를 밀어 주고 있는걸 알수 있다.따로 밀어넣는 부분만을 보니까..흠.. 뭘까..? 하고 보니 DATA를 1BYTE로 설정하여서 나누어서 뭔가를 보내준다.FOLLOW TCP 스트림해보니.. 위와같이 플래그를 제공.. 제출 끝!

원문보기 내부링크
Naver Blog

[CTF-D] 이벤트 예약 웹사이트를 운영하고...

3개의 문제가 동시에 연결되어있다. 첨부되어있는 파일을 받아보면.. 여러개의 파일이 있는데 증거수집 도구를 이용해서 파일을 얻은 것 같다.확인해 보자.가장 먼저 확인한 것은 프로세스 정보다.ps_eaf 파일의 87번째 줄을 확인해보면.. * sh -c php -f /var/www/upload/editor/image/reverse.php* php -f /var/www/upload/editor/image/reverse.php* sh -c /bin/sh -i <&3 >&3 2>&3위와같이 3개의 프로세스가 동작하는 것을 알 수있다.sh 명령어를 통해 reverse.php를 실행했는데.. 어떻게 실행을 했을까? 메모해놓고 더확인해 보자.access.log로 reverse를 검색했더니... 나오는게 없었다...뭐야..그런데 accesslog를 자.......

원문보기 내부링크
Naver Blog

[CTF-D] FIND KEY(Butterfly)

나비를 찾으랜다.. 흠 png 파일을 다운받자.png 파일을 다운받아서 열어보면 그냥 정상적인 파일이다.파일 ...

원문보기 내부링크
Naver Blog

정규식을 활용한 Accesslog 추출/분석(Powershell)

회사에 있을때 가끔식 방대한 용량의 Access log와 수많은 파일들을 분석해서 결과를 뽑아 내야 할 일이 ...

원문보기 내부링크
Naver Blog

[CTF-D] fore1-hit-the-core

자 뭐 힌트도없는것 같고 그냥 fore1.core를 다운받아서 풀어보자..!core파일이 뭔지 몰라서.. 일단 그냥 ...

원문보기 내부링크
Naver Blog

[CTF-D] 파일에서 플래그를 찾아라

200점 짜리 문제... 한번 풀어보자.첨부된 파일을 받으면 12KB짜리 파일이 있다.hxd로 열어보면.. 위와같...

원문보기 내부링크
Naver Blog

[OTTER-CTF] 2018 메모리 포렌식-Name Game1&2 - 4

이 문제는.. 노가다로 strings를 통해 확인해보다가.. 뭔가 좀 아닌 거 같아서..좋은 writeup이 있어서 가...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-1

문제는 한개의 vmss 덤프를 제공한다. 기본적으로 메모리 덤프파일을 받으면 나는 volatililty를 이용해 아...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-2

이어서 2번문제는 이메일에 첨부된 파일의 이름이 무엇이냐고 물어본다.자주 사용하는 명령어 set:volatl...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-14

흠.. 아까 멀웨어가 뭔지 다 찾았으니.. 쉽겠네..ㅎㅎ 바로보자..!* 자주 사용하는 명령어 set:volatlity...

원문보기 내부링크
Naver Blog

N00b CTF 1번 - welcome forensic world

오랜만에 직장생활중 놓았던 해킹 공부와 포렌식 공부를 하고 싶어서 남는 시간에 ctf를 풀어보고 풀이를 ...

원문보기 내부링크
Naver Blog

N00bCTF 2번 - image restore

이제 CTF Multimedia 포렌식 2번문제를 풀어보자. 개인적인 일정으로 뜸뜸이 풀었는데 나름 성공적으로...

원문보기 내부링크
Naver Blog

N00bCTF 5번 - find my thumbs

오늘도 .. CTF 풀어보자.. ㅎㅎ문제는 아래 링크에.CTF Site : http://52.79.224.215지문.. 지문...

원문보기 내부링크
Naver Blog

powershell USB/이동식디스크/BitLoker 관리(Serial Key,설명, 드라이브)

임직원들이 공인인증서로 사용하는 USB를 분실/파기를 대비하여서 분기점검을 진행한다.지점마다.. 일일...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-9

어느 CTF나 가장 잘 나오는 단골문제.. ㅎㅎ 간단하게 풀어보자.자주 사용하는 명령어 set:volatlity -f...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-12

타임라인이 그림을 만들지.. 그래서 10번도 풀수 있었고.ㅎㅎ자 이제 더 풀어보자.* 자주 사용하는 명령...

원문보기 내부링크
Naver Blog

[CTF-D]제 친구의 개가 바다에서...

멀티미디어 포렌식 문제이다.. 어쩌다가 개가 빠졌을까?hidden.jpg를 다운받자.다운받은 파일을 열어보면 ...

원문보기 내부링크
Naver Blog

[CTF-D] 제 드라이브에 catz사진이 몇 장 있습니다!

사진이 있는데 포렌식을 피하기 위해서 몇가지 조치를 취해 놨다고 한다.catz.img를 다운받아 보면 디스크 ...

원문보기 내부링크
Naver Blog

[CTF-D] X 회사의 재정 정보를 훔치기...

흠. 요약하자면 악의적인 임직원이 CTF PC에 악성코드를 통해서 PC에 접속을 하였고.. 그중에 훔쳐...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-13

오.. 공격자가 nbtscan.exe를 이용해서 무언가를 했고 그결과를 txt형태로 저장했댄다..ㅎㅎ분석을 해야겠...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-15

타임라인이랑 프로세스를 뽑아놓으니까 어쩨 뒤로갈수록 문제풀기가 더 쉬워지는 것 같다. ㅎㅎ * 자주 ...

원문보기 내부링크
Naver Blog

N00bCTF 4번 - What is docx?

맨날 정책업무만 주구장창.. 보안솔루션 운영만 주구장창하니까.. 해킹이 그립다.. 그리우면 시간내서 해야...

원문보기 내부링크
Naver Blog

[CTF-D] 저는 플래그를 이 파일에..

멀티미디어 포렌식 가장쉬운 100점짜리 다운받고 빨리풀자.이미지 파일을 열면 반으로 쪼개져있는 그림이 ...

원문보기 내부링크
Naver Blog

[CTF-D] 우리는 이 파일에 플래그를..

100점짜리 문제다. CTF-D는 문제가 많아서 재밌다.첨부됨 FLAG를 다운받으면 확장자가없는 그냥파...

원문보기 내부링크
Naver Blog

[CTF-D]FIND KEY(moon)

100점짜리 달을 찾는문제이다..ㅎㅎ역시 사진은 아무것도 없는 그냥 이미지처럼보인다.해더 시그니처를 확...

원문보기 내부링크
Naver Blog

[CTF-D] 우리의 제일 귀여운..

귀여운 스테고 사우르스를 찾아보랜다.근대 stego니까..? 스테가노그래피로 무언가를 숨겨 놨을거 같다.wir...

원문보기 내부링크
Naver Blog

[CTF-D] 사진 속에서 빨간색이..

100점 짜리 문제다. 빨간색이 이상하다고 하는 힌트를 보자마자 lsb steganography가 떠올랐다.역시 사진을...

원문보기 내부링크
Naver Blog

[CTF-D] 판교 테크노벨리 K기업에서...

판교 테크노벨리 기업에서 기밀유출 사건이 발생했단다. 한번 찾아보자.! 문제를 보니 브라우저 관련 아티...

원문보기 내부링크
Naver Blog

[CTF-D] 조개를 찾아 열고, 진주를 찾으십시오.

흠.. OUT.img 파일을 제공한다. 딱히 뭐 제목에서 힌트같아 보이는 글은 모르겠다..파일타입은 다음과 ...

원문보기 내부링크
Naver Blog

[OTTER-CTF] 2018 메모리 포렌식- General Info -2

앞에 것과 이어서.. PC의 이름과 ip주소가 뭐냐고 물어봤다. 이건 좀 쉬울거 같은데...?앞에서 얻은 운영...

원문보기 내부링크
Naver Blog

N00bCTF 6번 - Please open steganography

6번.. 이때까지 푼 문제중 가장 시간이 오래걸린 문제인것 같다...ㅜㅜ다들 CTF잘하시는분들은 어떻게 ...

원문보기 내부링크
Naver Blog

[CTF-D] 내 친구는 이것이 특별한..

역시 100점짜리 문제이다. 쉬운것 같아보이니 다운 ㄱㄱ역시 평범한 이미지이다. 뭘까.?헤더시그니처 확인....

원문보기 내부링크
Naver Blog

[OTTER-CTF] 2018 메모리 포렌식-playTime-3

문제를 보면 Rick은 오래된 게임을 좋아한댄다. 무슨 게임을하고 IP주소를 확인해보랜다.일단 프로세스 ...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-4

프로세스 PID를 구하랜다.. 그렇다면.. 무슨프로세스부터 동작하고 있는지 확인해봐야지..?* 자주 사...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-10

공격자가 도구를 손상시키기위해 3개의 exe파일을 옮겼다고 한다. ^^; 찾아보자~* 자주 사용하는 명령어 ...

원문보기 내부링크
Naver Blog

N00bCTF 3번 - Dark Web

이제 CTF Multimedia 포렌식 3번문제를 풀어보자. 이름이 ... Dark Web..? 뭔가 무서운 바이러스나 ...

원문보기 내부링크
Naver Blog

[CTF-D] Basics

파일이름이 steg.png이다.. 스태가노 그래피 문제인것을 직감.파일을 열어보니 역시 뭔가 있진않다.. lsb스...

원문보기 내부링크
Naver Blog

[CTF-D] 데이터센터 중 하나가 정보의...

IDC에서 뭔가 정보를 숨긴댄다.. 뭘가.. 일단은 압축파일을 다운받아 보자.다운 받은 압축 파일을 해제 ...

원문보기 내부링크
Naver Blog

[OTTER-CTF] 2018 메모리 포렌식-What-the-password?

뭔가 메모리 포렌식 공부를 하고 싶어서.. 지난 CTF 리스트를 찾던중 OTTERCTF라는게 있어서 문...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-5

레지스트리를 찾으라는게 문제다. 정보보안기사 옛날 단골문제로 자동실행 관련 레지스트리는 기본적으로 ...

원문보기 내부링크
Naver Blog

(해킹)HacktheBox-WALL Writeup

* 해킹은 교육으로만 사용해야하며 본 목적과 다르게 사용할 시 작성자는 법적 책임이 없음을 밝힙니다. ...

원문보기 내부링크
Naver Blog

[CTF-D] 계속 주시해라!

100점짜리. 문제 언넝 다운받아보자.다운받은 파일을 보니 해킹당했다며 협박을한다..ㅠ푸터시그니처 뒤에 ...

원문보기 내부링크
Naver Blog

ELK를 활용한 실시간 내 PC지키미 만들어보기(windows) -1

리눅스로 ELK 구축하는거야.. 쉽고 이번에는 윈도우 전용 ELK서버를 구축하여서 내 PC지킴이를 만...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-11

이번에도, 관리자 로컬 비밀번호를 물어본다..근데 이번에는 해쉬값이 아니라 평문? mimikatz로 봐야 되나 ...

원문보기 내부링크
Naver Blog

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-16

흠.. 아까 뭔가 3389 및 팀뷰어, 22번 등 많이 뽑아 놨던게 기억이 났다.* 자주 사용하는 명령어 set:vol...

원문보기 내부링크
Naver Blog

케이쉴드 6주차 실습환경 정리해본것.part 1(문자메시지 분석 안드로이드)

요런 문제가 있다. 흠.. 로비를 했다라..1. 위에 보면 문자로 연락을 주고받았다고 되어있다.2. 핸드폰으로 약속장소를 검색했다고 되어있다.이 두가지만 있으면 뭐 문제푸는댄 지장이 없을 것 같다고 생각했다.실습환경으로 윈도우 가상머신을 제공 받았다. 해당 경로로 가면 .MDF파일의 삼성 핸드폰의 이미지 백업본이 있다.Sleuthkit을 이용하여 파일을 분석하고자 한다. 가장 기본이 되는 디렉토리를 보면 위와 같이 나온다.우리는 위에서 문자메시지와 검색기록을 확인해야 하니까..! data디렉토리로 가야겠다.데이터 directory 값인 196609를 기억하자..196609를 추가로 입력하여서 보면 많은 페키지가 존재한다.. (대략 몇백개..)이걸 언.......

원문보기 내부링크
Naver Blog

케이쉴드 6주차 실습환경 정리해본것.part 2(검색 기록 분석)

이전과 이어서.. 이전글.https://blog.naver.com/pouerccat/221704246048흠.. 문자 메시지에는 확실히 만나기로 하고 갔지만 진짜로 만나로 갔는지.. 그런 부분에 약간 부족함이 있지 않나 싶었다.. 힌트에는 핸드폰으로 약속장소를 검색하였다는 말이 있으니. 한번더 분석해보자.패키지를 확인해야 하니.. data로 들어가보자. 모르시는 분들은 이전글을 꼭 보고와주세요..그냥 보면 너무 많으니... 정규식 사용해야죠.com.android.providers.userdctionary 의 databses/user_dict.db - 여기에는 사용자가 타이핑한 단어들에 대한 정보를 확인할 수 있음..만약 google계정과 동기화가 되어있다면 여러대의 device가 통합되어 타이핑 단어들을 보.......

원문보기 내부링크
Naver Blog

케이쉴드 6주차 기업파일정보유출 분석 case 풀이

문제는 이렇다.. .참나쁜놈이네..ㅎㅎ;;; 근대 조건이 끌리긴할듯..ㅎㅎ 풀어보자.일단 분석환경으로 windows 를 제공하였다. live에서 분석하기에 파일을 건들수 있으므로 이미징을 하면 좋겠지만 그런 환경이 안되니...ㅜㅜ 대충 디스크만 열게 시켜놓자일단 브라우져 방문기록을 봣따. 뭔가 바탕화면에 이렇게 많이 열어봣냐....* file://로 되어있는건 브라우저를 통해 파일을 열어봣기에 저렇게 기록에 남는다.REGA를 이용해 레지스트리도 분석해보자.. LIVE라 따로 추출안해도 되니 넘나 편하네.( LIVE가아니면 레지스트리와 하이브 추출하면 된다.!)음많은 장비들이 마운트 되어있었군..그중 USB로 보이는게 크게 2가지 확인이 되었다. 11.......

원문보기 내부링크
1 2