카테고리

    잡동사니/각종 자료들

    스테가노그래피 CTF 체크리스트

    https://stegonline.georgeom.net/checklist StegOnline stegonline.georgeom.net https://stylesuxx.github.io/steganography/ Steganography Online Encode message To encode a message into an image, choose the image you want to use, enter your text and hit the Encode button. Save the last image, it will contain your hidden message. Remember, the more text you want to hide, the larger the image has to b ..

    디지털 포렌식 관련 무료 프로그램 모음
    DFIR Programs/Others

    디지털 포렌식 관련 무료 프로그램 모음

    디지털 포렌식 공부를 하면서 사용했었던 프로그램들을 소개해드리겠습니다. 추후 제가 추가로 접하는 프로그램들 또한 지속적으로 업데이트할 예정입니다. 공식 배포 홈페이지가 따로 있는 경우 댓글로 알려주시면 감사하겠습니다. 포스팅 업데이트 최신 날짜 : 2023-01-13 디지털 포렌식 관련 무료 프로그램 모음 1. AmCache AmcacheParser http://ericzimmerman.github.io/#!index.md 2. AppCompatCache(ShimCache) AppCompatCacheParser http://ericzimmerman.github.io/#!index.md 3. 이벤트 로그 Evtx Explorer/EvtxECmd http://ericzimmerman.github.io/#!i..

    SQL CheatSheet
    잡동사니/각종 자료들

    SQL CheatSheet

    2021 INCOGNITO CTF(Forensic-data_collector 490)
    Capture The Flag/CTF 풀이

    2021 INCOGNITO CTF(Forensic-data_collector 490)

    data_collector.zip 파일이 주어집니다. 공격자가 원격데스크톱으로 접근한 후 사용한 도구의 파일명과 파일의 해시 값을 구하는 문제입니다. 압축을 해제하면 위와 같은 파일들이 존재하는 것을 확인할 수 있습니다. 윈도우즈 환경의 파일들임을 알 수 있습니다. 저는 먼저 원격데스크톱 연결을 시도했다고 했기 때문에 이벤트 로그를 확인해봤습니다. 그런데 이벤트로그에 남아있는 데이터가 하나도 없었습니다. 그러다 문득 문제에서 실행 프로그램의 파일과 해시값을 구하라는 말을 보고 암캐시가 생각났습니다. 얼마전에 암캐시를 분석할 일이 있어서 구조가 어떻게 되어 있는지 본 적이 있는데 그 때 실행 파일 정보와 해시값을 기록해둔다는 사실이 기억났습니다. Eric Zimmerman의 AmcacheParser를 사용..

    2021 INCOGNITO CTF(Forensic-코로나바이러스 대응 긴급조회 453)
    Capture The Flag/CTF 풀이

    2021 INCOGNITO CTF(Forensic-코로나바이러스 대응 긴급조회 453)

    prob.zip 파일이 주어집니다. prob.zip 파일 내부에는 코로나바이러스 대응 긴급조회.hwp 파일이 존재합니다. 문제에서 쉘코드, 공격적인 행위라는 단어를 언급했으므로 악성 데이터가 첨부된 문서 파일에 대한 분석을 의도하는 것으로 보입니다. hwp 파일을 열어봤을 때 별 다른 이상은 없습니다. SSView를 사용하여 해당 hwp 파일을 열어봤을 때 BinData 경로에 .ps 파일이 존재했습니다. .ps 파일의 데이터를 열어보면 Hex 값이 문자열로 저장되어 있는 것을 볼 수 있습니다. 해당 문자열을 HxD를 사용하여 변환하면 파이썬 코드와 쉘코드 값을 획득할 수 있습니다. .ps 파일에서 뽑은 코드는 위의 좌측 그림과 같습니다. msg를 key 값을 통해 암호화하여 Shellcode 값을 뽑아..

    2021 사이버공격방어대회 CCE(등록 : 2021.09.03 ~ 09.22)
    잡동사니/대회, 컨퍼런스 및 교육 정보

    2021 사이버공격방어대회 CCE(등록 : 2021.09.03 ~ 09.22)

    국정원에서 주최하는 2021 사이버공격방어대회가 개최될 예정입니다. https://www.cstec.kr/cce2021/ 2021 사이버 공격방어 대회 2021 사이버 공격방어 대회 www.cstec.kr

    2021 INCOGNITO CTF(Forensic-HS 325)
    Capture The Flag/CTF 풀이

    2021 INCOGNITO CTF(Forensic-HS 325)

    이동식 저장장치의 Serial Number를 구하는 문제입니다. chall.zip 파일이 주어지며 안에는 확장자를 알 수 없는 파일이 존재합니다. 파일의 시그니처 부분이 INCO 문자열로 덮여져있음을 확인할 수 있습니다. 레지스트리 하이브 파일의 시그니처 값인 72 65 67 66 으로 값을 변경시킨 후 저장합니다. 레지스트리 익스플로러 프로그램을 사용하여 해당 파일을 연 뒤, 외부저장장치 연결 기록이 저장되는 경로에서 연결된 장치의 시리얼 넘버를 확인할 수 있습니다. INCO{0374120030028536} 이번 문제는 사실 대회 기간 내에 풀지 못했던 문제입니다. 하이브 파일을 빨리 떠올리지 못해서;;; 간단한 개념 문제였는데 왜 그 순간에 생각이 나지 않았나 싶습니다ㅠㅠ

티스토리툴바