목록CTF/Forensic (7)

안 쓰던 블로그

[Defcon DFIR CTF 2019] Memory Forensics 풀이 (volatility)

defcon2019.ctfd.io/challenges Defcon DFIR CTF 2019 defcon2019.ctfd.io 데프콘 2019의 메모리 포렌식 문제들을 풀어본다 volatility를 사용할 건데, 주요 플러그인에 대한 설명이 여기와 여기에 잘 정리되어 있다 1. get your volatility on triage.mem의 해시값 정보를 구하는 문제 volatility를 사용하여 이미지부터 확인한다 volatility_2.6_win64_standalone.exe -f "Triage-Memory.mem" imageinfo 1. 이미지는 윈7이나 윈2008 환경으로 구성되어 있다 2. KDBG(프로세스 정보 추적을 위함)의 주소 0xf800029f80a0L 3. 2019-03-22에 제작됨 w..
CTF/Forensic 2021. 2. 28. 05:06
BOF 문제 풀이 (하는 중)

실행시켜 보면 뭔가 입력 받고, 그대로 출력한다 checksec으로 확인해 보면 스택 카나리가 있는 것을 알 수 있다 gdb ./chall disas main으로 main함수를 본다 puts로 "hello"를 한 뒤에 read를 받는다 read받은 내용을 다시 puts한 뒤에 gets하고 끝 key 아래는 디컴파일 win()함수를 보면 바로 빈쉘을 시스템으로 넘기기 때문에 메모리 leak은 하지 않아도 된다
CTF/Forensic 2020. 10. 20. 11:50
pwntools

보호되어 있는 글입니다.
CTF/Forensic 2020. 9. 21. 20:28
[포렌식] NTFS 파일 시스템 구조 (NTFS에서 파일 복구 방법)

FAT 파일 시스템 구조: https://foxtrotin.tistory.com/258 NTFS는 현재 윈도우즈에서 가장 많이 사용되는 파일 시스템 Spec이 완전히 공개되지 않음. 마이크로소프트에서 서버용 파일시스템으로 사용하기 위해 만들었다 Boot Record: FAT File System보다 간단한 구조 MFT: NTFS 파일 시스템의 구조를 가지고 있음. 실제 Data영역에 넘어갈 수 있는 정보를 가짐 Data: 데이터가 저장되는 영역, 클러스터 Cluster단위로 읽고 쓴다 NTFS Layout 1) Boot Record: BR NTFS의 내용 중 유일하게 고정되어 있는 구조체 BR로 MFT에 접근 섹터 당 바이트 수, 클러스터 당 섹터 수, 볼륨 크기, MFT 등등의 정보를 가진다 BR 구조..
CTF/Forensic 2020. 8. 28. 20:41
[포렌식] FAT 파일 시스템 구조 (FAT에서 파일 복구 방법)

Partition 파일 시스템을 보기 전에 파티션과 MBR에 대해 짚고 가겠습니다 파티션 Partition은 연속된 저장공간을 하나 이상의 연속되고 독립된 영역으로 나누어서 사용할 수 있도록 정의한 규약이다 파티션을 나누는 이유는, OS영역과 Data영역을 분리하여 사용하기 위해, 저장 공간을 효율적으로 사용하기 위해, 여러 개의 OS를 하나의 시스템에서 사용하기 위해서 등이 있다 DOS Partition은 MBR과 BR로 구성된다 MBR: BR을 호출하기 위한 Boot code, Partition Table을 가지며, 디스크의 첫 512 Bytes를 차지한다 BR: 각 파티션의 첫 번째 섹터에 위치한다 MBR MBR은 Boot Code, Parition Table, Signature로 구성되어 있다 실..
CTF/Forensic 2020. 8. 28. 17:27
Puzzle #1: Ann’s Bad AIM 문제풀이 (네트워크 포렌식)

http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s forensicscontest.com ..
CTF/Forensic 2019. 11. 28. 16:05
xcz.kr 27번 문제풀이 (포렌식)

핵심은 이미 침입했고 '외부에 유출하는 과정' 중 현장 발각 뭔가 밖으로 빼내고 있던 흔적이 있을듯 문제로 준 폴더들을 하나씩 뒤져봤다 근데 바로가기 파일, 아무 것도 없는 페이크 폴더, 인터넷 임시 파일, 캐시 파일, 쿠키 파일, 딱 봐도 정답은 아닌 세팅 파일을 지워냈더니 파일 자체가 몇 개 안 남음 뭔가를 빼냈다면 하드에 복사해서 들고 가려고 했거나 인터넷으로 빼냈던가 했을텐데 전체를 뒤졌는데 볼만한 파일은 아래만 남았음 그러면 인터넷으로 보냈나? 마침 아웃룩이 있다 아웃룩 백업 파일 dbx가 있다 아웃룩으로 불러오면 될 것 같은데 구글에서 dbx viewer 검색해서 아무거나 깔았다 https://pendriveapps.com/mail-viewer-open-dbx-files/#more-5869ht..
CTF/Forensic 2019. 11. 28. 02:41
Prev 1 Next