H4CKING GMAE
H4CKING GAME CTF(Digital Forensic-CODE 150)
CODE 문제입니다. 지문에서 Is it really a barcode? 라고 되어 있는 것을 보아 바코드 관련 문제인 것 같습니다. code.bmp 파일을 다운로드할 수 있습니다. code.bmp 파일을 다운로드하고 열어보면 위와 같은 바코드 이미지를 확인할 수 있습니다. 일단은 바코드 이미지를 획득했기 때문에 onlinebarcodereader 사이트에서 해독을 시도했습니다. 바코드 해독 결과 값을 얻을 수 없다고 합니다. 지문에서 이것이 진짜 바코드인가? 라고 나와있듯이 해당 이미지는 바코드 이미지가 아닌 것으로 보입니다. 바코드 형태를 유심히 살펴보다가 아래에 있는 구분점에 주목을 했습니다. 위 그림에서 파란색 ^로 표시를 해둔 부분인데 간격이 일정한 것을 확인하고 몇 칸마다 구성이 되어있나 확인..
H4CKING GAME CTF(Digital Forensic-art 150)
문제 설명은 위와 같습니다. 대충 램을 분석하라는 얘기인듯 합니다. 링크를 누르면 약 2GB 크기의 data.mp4라는 이름의 파일을 다운로드하게 됩니다. 해당 파일의 Hex 값을 보면 시작 부분에 데이터가 존재하지 않습니다. 스크롤을 좀 내리다보면 데이터가 보이는데 메모리 덤프 파일과 형태가 유사하여 확장자를 .dd로 변경하고 바로 볼라틸리티로 분석을 시작했습니다. .\volatility_2.6_win64_standalone.exe -f data.dd imageinfo imageinfo 플러그인을 사용하여 해당 메모리 덤프 파일의 프로필 정보를 획득했습니다. Profile : Win7SP1x64 .\volatility_2.6_win64_standalone.exe -f data.dd --profile=W..