카테고리

    2021 한국디지털포렌식학회 동계학술대회(2021.11.26 09:30 ~ 18:00)
    잡동사니/대회, 컨퍼런스 및 교육 정보

    2021 한국디지털포렌식학회 동계학술대회(2021.11.26 09:30 ~ 18:00)

    올해도 빠짐없이 한국디지털포렌식학회 동계학술대회가 열릴 예정입니다. https://kdfs.jams.or.kr/po/community/notice/noticeView.kci JAMS2.0 - kdfs.jams.or.kr

    H4CKING GAME CTF(Digital Forensic-CODE 150)
    Capture The Flag/CTF 풀이

    H4CKING GAME CTF(Digital Forensic-CODE 150)

    CODE 문제입니다. 지문에서 Is it really a barcode? 라고 되어 있는 것을 보아 바코드 관련 문제인 것 같습니다. code.bmp 파일을 다운로드할 수 있습니다. code.bmp 파일을 다운로드하고 열어보면 위와 같은 바코드 이미지를 확인할 수 있습니다. 일단은 바코드 이미지를 획득했기 때문에 onlinebarcodereader 사이트에서 해독을 시도했습니다. 바코드 해독 결과 값을 얻을 수 없다고 합니다. 지문에서 이것이 진짜 바코드인가? 라고 나와있듯이 해당 이미지는 바코드 이미지가 아닌 것으로 보입니다. 바코드 형태를 유심히 살펴보다가 아래에 있는 구분점에 주목을 했습니다. 위 그림에서 파란색 ^로 표시를 해둔 부분인데 간격이 일정한 것을 확인하고 몇 칸마다 구성이 되어있나 확인..

    H4CKING GAME CTF(Digital Forensic-LineFeed 100)
    Capture The Flag/CTF 풀이

    H4CKING GAME CTF(Digital Forensic-LineFeed 100)

    LineFeed 문제입니다. 파일의 어딘가가 손상이 되었다는 것을 알 수 있습니다. linefeed.png 파일을 다운로드 할 수 있습니다. 다운로드 받은 파일을 열어보면 위와 같은 그림을 확인할 수 있습니다. 지문에서 파일이 손상되었다는 점, 문제 파일이 png 파일이라는 점을 통해 세로, 가로 값이 변경되었음을 의심했습니다. linefeed.png 파일의 가로 세로 값은 위 빨간색 네모 영역에 위치하고 있습니다. width : 0x1F0 (496) height : 0x1A0 (416) height 값을 100 높혀서 0x204 로 지정해봤습니다. height 값을 100증가시켜주니 아래에 짤렸던 부분이 드러났습니다. width 값을 3 증가시켜서 0x1F3 으로 지정했습니다. 가로 값을 수정하니 플래..

    H4CKING GAME CTF(Digital Forensic-Paint 50)
    Capture The Flag/CTF 풀이

    H4CKING GAME CTF(Digital Forensic-Paint 50)

    Paint 문제입니다. paint.png 파일을 다운로드 할 수 있습니다. 바로 플래그를 보여주는데 확대해서 잘 들여다보면 플래그가 보입니다. 포토샵 처리를 하면 더 깔끔하게 보일 것 같네요.

    H4CKING GAME CTF(Digital Forensic-cat 120)
    Capture The Flag/CTF 풀이

    H4CKING GAME CTF(Digital Forensic-cat 120)

    cat 문제입니다. cat.jpg 파일을 다운로드 할 수 있습니다. 문제 파일을 열어보면 위와 같은 그림을 확인할 수 있습니다. jpg 파일이기 때문에 GPS 값이 있나 확인을 해봤습니다. GPS 값이 존재했으나 지도에 검색을 해도 별 다른 정보를 획득할 수 없었습니다. 파일 카빙을 의도하는 문제인가 싶어서 hex 값을 봤습니다. JPG 파일의 footer signature 값인 FF D9 뒤에 16진수 값이 존재하는 것을 확인했습니다. 해당 16진수 값을 디코드하면 플래그를 획득할 수 있습니다.

    H4CKING GAME CTF(Digital Forensic-Easy 100)
    Capture The Flag/CTF 풀이

    H4CKING GAME CTF(Digital Forensic-Easy 100)

    Easy 라는 문제입니다. easy.png 파일을 다운로드 할 수 있습니다. 파일을 열어보면 위와 같은 그림을 확인할 수 있습니다. 형태와 색깔을 보아하니 스테가노그라피 문제임을 예상했고 stegsolve 툴을 사용해서 분석해보기로 했습니다. Stegsolve.jar 파일을 실행합니다. easy.png 파일을 업로드하고 화살표를 눌러서 색상 값을 조절하다보면 QR 코드를 획득할 수 있습니다. 문제 파일에 QR 코드 이미지가 은닉되어 있었던 것입니다. 온라인 바코드 리더 사이트에서 QR을 해독할 수 있습니다.

    H4CKING GAME CTF(Digital Forensic-art 150)
    Capture The Flag/CTF 풀이

    H4CKING GAME CTF(Digital Forensic-art 150)

    문제 설명은 위와 같습니다. 대충 램을 분석하라는 얘기인듯 합니다. 링크를 누르면 약 2GB 크기의 data.mp4라는 이름의 파일을 다운로드하게 됩니다. 해당 파일의 Hex 값을 보면 시작 부분에 데이터가 존재하지 않습니다. 스크롤을 좀 내리다보면 데이터가 보이는데 메모리 덤프 파일과 형태가 유사하여 확장자를 .dd로 변경하고 바로 볼라틸리티로 분석을 시작했습니다. .\volatility_2.6_win64_standalone.exe -f data.dd imageinfo imageinfo 플러그인을 사용하여 해당 메모리 덤프 파일의 프로필 정보를 획득했습니다. Profile : Win7SP1x64 .\volatility_2.6_win64_standalone.exe -f data.dd --profile=W..

티스토리툴바