일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- It
- 메소드
- Forensic #CTF #디지털포렌식 #disk forensic
- java
- 안드로이드 #스레드 #핸들러 #예제
- EnCase #mount #Forensic #image mount
- 안드로이드 #서비스 #안드로이스 서비스 #Android #java
- 프로그래밍
- 코딩
- 정보보안기사 #정보보안산업기사 #클라우드컴퓨팅 #보안 #컴퓨팅보안
- PYTHON
- 파일 접근 권한 #linux #chown #chmond #umask #명령어
- Injection #Reflected #웹취약점
- 탈중화
- 객체
- 정보보안기사 #정보보안산업기사 #2020년 정보보안기사 #시험일정
- 자바
- 포렌식
- Forensic CTF #disk Forensic #windows file analyzer #WFA #Codegate 2012 F100
- 디지털 포렌식
- forensic
- 디지털포렌식 연구회 워크샵 #디지털포렌식 #디지털포렌식챌린지 #Forensic #ctf #정보보호학회
- snedmail #linux #정보보안기사 #정보보안산업기사 #mail protocol
- #정보보안 #어셈블리 #저급언어 #기계어 #it #정보보안
- 디지털포렌식챌린지 #dfchallenge #디지털포렌식 #Forensic
- 비박스 #웹취약점분석 #버그바운티 #bee-box #웹 #모의해킹
- evm
- CIDR #서브넷 #Network #ip 주소고갈
- HTML Injection #bWAPP
- 파이썬
- Today
- Total
Jsecurity
Codegate 2012 F100 : Disk Forensic 본문
[시나리오]
X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크기를 찾아라. 그 날 CFO는 14:00시에 사무실을 떠났다. 시간은 한국 표준시 (UTC + 09:00)를 기준으로 한다.
KEY Format : strupr(md5(full_path|file_size)) (‘|’ 는 문자일 뿐이다.)
[풀이 도구](아티펙트 분석용)
주어진 문제 파일은 확장자 유형이 주어지지 않아서 Hex Editor를 이용하여 파일 시그니처를 확인한다.
Hex Editor로 열어본 결과 해당 파일은 7z로 압축된 파일임을 확인할 수 있다.
확장자를 변경하고 그 내용을 확인한다.
압축 파일을 확인한 결과, 윈도우 운영체제의 사용자 폴더의 구조와 동일한다. 따라서 해당 파일은 윈도우 운영체제의 사용자 폴더를 압축한 파일임을 알 수 있다.
범인이 열어본 EXCEL 파일의 흔적을 찾기위해 문서 파일의 링크 파일 정보가 담긴 폴더를 확인한다.
링크 파일 경로: Users\proneer\AppData\Roaming\Microsoft\Office\Recent
재무정보 문서로 의심되는 "[Top-Secret]_2011_Financial_deals.LNK" 링크 파일이 존재한다. 해당 링크 파일 분석을 위해 WFA(Windows File Analyzer) 프로그램을 실행하여 해당 링크 파일을 담고 있는 폴더를 찾아낸다.
위의 그림과같이 재무정보 문서 링크 파일의 파일크기와 전체 경로를 알 수 있다.
경로: C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx
크기: 9296 Byte
Flag key = d3403b2653dbc16bbe1cfce53a417ab1
'포렌식 > CTF' 카테고리의 다른 글
ASIS Quals CTF : 파일에서 플래그를 찾아라. (0) | 2019.11.11 |
---|---|
ASIS Quals CTF : 하늘은 왜 푸른색입니까? (2) | 2019.10.19 |
ASIS Quals CTF 2015 : Broken Heart (0) | 2019.06.28 |