Forensics 풀이 (40) 썸네일형 리스트형 Multimedia #8-Three Thieves Threw Trumpets Through Trees 100 'Three Thieves Threw Trumpets Through Trees' = '나무들 사이로 트럼펫을 던진 세 명의 도둑' 문제만 읽어보면 무슨 문제인지 알 수가 없어서 image1.jpg 파일을 다운로드하고 열어보았다. 해당 파일 형식은 지원되지 않는 것 같다고 쓰여있다. 이런 경우에는 대부분 확장자가 틀린 경우가 많아서 확장자를 확인해보기 위해 이를 헥스에디터로 열어보았다. 해당 파일의 헤더 시그니처는 52 49 46 46 였다. 밑의 블로그를 참고하여 jpg의 파일 시그니처와 해당 파일의 파일 시그니처가 일치하는지 알아보았다. http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF f.. Multimedia #64-스타워즈 시간이 돌아왔다! 200 이번 문제는 제목이 재밌어 보여서 고르게 되었다. 해당 파일을 다운로드하고 열어보면, 세로로 긴 알록달록 지글지글한 사진이 나온다. 초반 문제들의 스테가노그래피 기법이 떠올라 온라인 툴을 이용해 돌려보았으나 아무런 소득이 없었다. 어떻게 풀 수 있을까 인터넷에 찾아보던 중 piet 언어 라는 것을 발견하였다. * piet 언어 : 도트로 그림을 그리면 점의 위치와 RGB 값이 코드 역할을 하는 언어 더 자세한 내용은 밑의 URL에서 참고하면 될 것 같다! https://www.dangermouse.net/esoteric/piet.html DM's Esoteric Programming Languages - Piet Piet Composition with Red,Yellow and Blue.1921, Pie.. NetWork #3-DefCoN#21 #3 Gregory가 Betty를 만나지 않는다면 어떻게 죽게 되는지 알아보자.round3.pcap를 먼저 다운로드하고 이를 wireshark로 열어보았다. HTTP로 주고 받은 파일을 찾아보기 위해 File>Export Objects>HTTP를 열었다. Content Type을 살펴보았는데, javascript, html, css 등등 자주 보았던 단어들이 있었다.문제에서 Gregory가 전화를 받고 사실을 알게 되었다고 했으니.위의 단어들은 전화와 관련이 없는 것 같고 그나마 mms-message가 관련이 있는 것 같아자세히 살펴보기로 하였다. mms-message의 packet이 390이여서 확인해보니 Protocol이 MP4인 것을 알 수 있었다.또한, 이의 Follow TCP Stream을 열어보니,.. Network #7-DefCoN#21 #7 round7.pacp 파일을 가지고 허위 웹페이지를 찾는 문제이다.round.pcap를 NetworkMiner를 사용하여 열어보았다. - NetworkMiner 다운로드 사이트https://www.netresec.com/index.ashx?page=NetworkMinerNetworkMiner - The NSM and Network Forensics Analysis Tool ⛏Network Miner is a network forensics tool for analyzing network trafficwww.netresec.com문제가 허위 웹사이트를 찾는 것이니까Files 부분에서 URL을 찾아본 결과, 왠지 실제로 있을법한 사이트를 발견하였다.그리고 실제로 해당 사이트가 있었다! www.bankofam.. Network #6-DefCoN#21 #6 악성 페이로드의 용량은 몇 Byte인지 물어보는 문제이다. * 페이로드(payload) : 사용에 있어서 전송되는 데이터 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다 대충 악성데이터의 용량을 물어보는 문제인 것 같다. 문제를 나름 이해하고 round6.pcap를 다운로드하고 networkminer를 이용하여 살펴보기로 하였다. - NetworkMiner 다운로드 사이트 https://www.netresec.com/index.ashx?page=NetworkMiner NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏ Network Miner is a network forensi.. Network #1-DefCoN#21 #1 'Jack이 당신에게 캡쳐 정보를 보여준다.', '회의가 예정된 요일은?'을 보았을 때 해당 파일이 캡쳐 정보이고, 그 정보로 인해 요일을 알아내야 하는 것 같다. 해당 파일은 pcap확장자를 가지고 있다. 이 파일의 속성에 들어가 확인해보니, pacp확장자는 Wireshark capture file을 의미한다는 것을 알 수 있다. * .pacp(packet capture) : 컴퓨터 네트워크 관리 분야에서 네트워크 트래픽 포착용 API 구성 해당 파일을 열어보면, '데이터통신 및 네트워크' 수업에서 배웠던 익숙한 장면이 나온다. 위의 사진을 보면, UDP, TCP, ARP 등 익숙한 용어들이 나오는데 처음보는 용어 IRC이 있어 이를 찾아보았다. * UDP(User Datagram Protocol) :.. Multimedia #49-저는 이미지에서 어떤 것을... 150 '어떤 것을 잘못 배치했습니다', '당신이 시간을 늦출 수만 있다면' 문제를 보면, 뭔가를 잘못 배치해서 gif파일의 속도가 빨라진 것 같다. 일단, logo.gif 파일을 다운로드해서 이를 살펴보기로 하였다. 엄청 짧은 순간 플래그값이 지나가고 'Capture the flag is fun'이라는 문구가 나온다. 사진을 복사하고 붙여넣기를 하게 되면 짧은 순간에 나온 플래그값이 캡쳐된다. 플래그 값이 나오는 순간이 아닌데도 불구하고 이것이 캡쳐되어 신기했다. 원래는 stegsolve 툴을 이용해서 이미지를 살펴볼 생각이었는데 플래그 값을 생각보다 간단한 방법으로 찾았다. flag=boy_this_goes_by_so_fast 문제 해결! Multimedia #39-그림을 보아라 150 문제에는 간단하게 '그림을 보아라'라는 문구만 쓰여있다. 문제대로 그림을 다운로드해서 보면, 가운데 그림에는 'So you're telling me there is no anything useful in the archive except pictures?' ('그래서 그림 외에는 아카이브에 유용한 것이 없다고 말하고 있는 거니?') 라고 쓰여있다. * archive(아카이브) : 데이터의 세대 관리를 목적으로 하는 데이터 저장 기법 컴퓨터 데이터의 무결성을 위해 데이터와 연결하여 함께 유지 보관하는 것 하나이상의 파일과 메타 데이터를 통합하고 일정한 형식으로 저장하는 파일을 아카이브 파일이라고 함 또한 그림 위에 문구를 읽어보면, 'Hey, look what the awesome way I use to .. 이전 1 2 3 4 5 다음
