분류 전체보기 (263) 썸네일형 리스트형 [2장] 디지털 데이터 표현 디지털 데이터 : '0'과 '1'의 비트열 정해진 규약이 달라지면 의미도 달라진다 디지털 데이터의 의미를 정확히 해석하기 위해서는 데이터 표현 방식에 대해 알고 있어야 한다 [1절] 데이터 구성 단위 효율적인 처리를 위해서 여러 가지 형태로 데이터의 구성 단위를 정의한다 ① 물리적 단위 실제 물리적 당치(메모리, 저장 장치 등)에서 사용되는 단위 데이터의 저장 및 처리를 위해 사용 비트가 최소 단위 비트(bit) : 데이터 구성의 최소 단위/ 0,1로 이루어짐 쿼터(quarter) = 1/4byte = 2bit 니블(nibble) = 1/2byte = 4bit 바이트(byte) = 1byte = 8bit 워드(word) = 4byte = 32bit 더블 워드(double word) = 8byte = 64.. Network #4-DefCoN#21 #4 Betty의 동료라고 하는 한 단체가 Gregory에게 제공한 비밀번호를 알아내는 문제이다. 해당 파일 round4.pcap를 Network miner로 열어보았다. 단체가 Gregory에게 요구 사항 목록을 메세지로 주었을 가능성이 있어 메세지를 확인해보았다. Network Miner에서 Messages부분을 누르면, 오고 간 메세지들을 확인할 수 있다. 단체가 Gregory에게 전송한 메세지를 확인할 수 있었다. "You know the location and password for the drop." 그 뒤에는 또 다른 스크립트가 있는데, 스크립트로 봐서는 kml파일이 관련있는 것으로 보였다. 단체가 지도 파일을 건내주어 장소와 비밀번호를 준 듯 하다. 메세지 뒤의 스크립트를 메모장에 옮겨 \은 없.. Network #2-DefCoN#21 #2 그들은 어느 도시에서 만날까요? round2.pcap를 다운로드하고 와이어샤크로 이를 열어보았다. 두 호스트 간의 트래픽 양을 확인할 수 있는 방법인 Statistics> Conversations에 들어가서 Bytes 높은 순서대로 정렬하기 위해 Bytes를 한 번 클릭해주었다. 이 순서대로 TCP Stream을 살펴보면, Bytes=914K, Bytes=906K에서는 특별한 점을 찾지 못하였다. 그러나, Bytes=865K에는 이가 암호화되어 있었다! 이를 더 자세히 알아보기 위해 파일 카빙과 정렬을 한 번에 할 수 있는 프로그램인 'Network Miner'를 사용하여 round2.pcap 파일을 열어보았다. 메뉴들 중에 Messages를 누르면 오고 간 메세지들을 확인할 수 있다. 첫번째 메세지에서.. Network #5-DefCoN#21 #5 Gregory에게 무슨 일이 일어난 걸까? 그것을 알아보기 위해 round5.zip을 다운로드하고 압축을 해제해보았다. dump폴더과 log.txt파일 총 2개의 파일이 있다. * dump : 어떤 장애가 발생했을 때, 프로그램의 오류 수정이나 데이터의 검사를 위해 존재 그 상태를 출력 장치에 표시, 출력하기 위해 컴퓨터 주기억장치와 레지스터, 데이터나 프로그램 등 디지털 계산기에 존재 및 지정된 메모리 영역 log.txt 파일에서 제일 많이 볼 수 있는 문자는 "Warning" 그 외에는 dump_android.cpp complied, dump_android_fs.cpp complied를 주목해볼 수 있는데, dump폴더가 android를 사용하면서 생긴 dump파일인 것 같았다. 다음으로 dump폴더.. Multimedia #13-basics 100 basics. 기본. 문제만 보면 풀기 쉬울 것 같은 느낌이 들었다. 사진 속에 "Ghost in wires"라는 글자빼고는 힌트가 될 만한 것이 없어보였다. 문제에서 기본이라고 했고, 이 번호대 문제들에 스테가노그래피 기법이 많았기 때문에, 해당 사진에도 스테가노그래피가 적용되어 있나 살펴보기로 하였다. - 온라인 포토샵 사이트 https://29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysi.. Multimedia #11-계속 주시하라! 100 계속 주시하라! Proxy,jpg 파일을 열어보면, '너는 해킹당했다!' 라고 쓰여있다. 이 사진만 봐서는 key값을 알 수 없을 것 같아 헥스에디터로 해당 파일을 열어보기로 하였다. 먼저, 이 파일의 확장자는 jpg이니 jpg의 header 시그니처 : FF D8 jpg의 footer 시그니처 : FF D9 를 염두해두고 파일을 살펴보자. 일단, header 시그니처는 일치하였다. footer 시그니처도 발견하였다. footer 시그니처 뒤에 문자열이 더 있었고, key format도 때마침 text여서 뒷 문자열을 넣어보았더니 정답이었다! key=16bbee7466db38dad50701223d57ace8 문제 해결! Multimedia #35-black-hole 140 이 문제는 140점짜리 문제 치고는 쉬워 보인다. 문제를 읽어보면 Base64 형식으로 인코딩 된 플래그를 보냈다고 한다. KEY format은 BITCTF{(key)}인데, 이를 헥스에디터에서 찾아보면 될 것 같다. 우선 black_hole.jpg 파일을 다운로드하고 열어보았다. 파일의 이름과 걸맞게 블랙홀 사진이다. 이를 헥스에디터로 열어보았다. Search>Find를 사용하여 key format인 BITCTF를 찾아보면, 찾을 수 없다는 표기가 나온다. 문제에서 Base64 형식으로 인코딩 된 플래그를 보냈다고 했으니, BITCTF 또한 인코딩했을 수도 있다는 생각이 들어 BITCTF를 인코딩한 후 그 문자열을 찾아보기로 하였다. https://www.co.. Multimedia #8-Three Thieves Threw Trumpets Through Trees 100 'Three Thieves Threw Trumpets Through Trees' = '나무들 사이로 트럼펫을 던진 세 명의 도둑' 문제만 읽어보면 무슨 문제인지 알 수가 없어서 image1.jpg 파일을 다운로드하고 열어보았다. 해당 파일 형식은 지원되지 않는 것 같다고 쓰여있다. 이런 경우에는 대부분 확장자가 틀린 경우가 많아서 확장자를 확인해보기 위해 이를 헥스에디터로 열어보았다. 해당 파일의 헤더 시그니처는 52 49 46 46 였다. 밑의 블로그를 참고하여 jpg의 파일 시그니처와 해당 파일의 파일 시그니처가 일치하는지 알아보았다. http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF f.. 이전 1 ··· 27 28 29 30 31 32 33 다음
