[Windows Forensic] EventTranscript.db 분석
·
Forensics/Windows
오늘은 새로 발견된 포렌식 아티팩트를 살펴볼까 한다. 아직 연구중인 분야라고 하니 간단하게 살펴보고 넘어가도록 하자. EventTranscript.db란 Windows 운영체제에서 발생하는 이벤트에 대해 많은 진단 관련 정보를 실시간으로 기록하는 것으로 보이는 SQLite 데이터베이스라고 한다. 이 데이터베이스는 기본적으로 활성화가 되어있지 않기 때문에 '진단 데이터 보기'에서 활성화를 시켜줄 수 있다. 또한 사용자가 스스로 데이터베이스의 크기와 범위를 지정할 수 있다. 위와 같이 설정 후 '진단 데이터 보기'를 활성화하면 EventTranscript.db 파일이 다음 위치에 생성되는 것도 확인해볼 수 있다. 위치 : C:\ProgramData\Microsoft\Diagnosis\EventTranscri..
비할당 영역과 메타데이터 분석 (feat. root-me 문제)
·
Forensics/Study
저번에 root-me.org의 'Find the cat' 문제를 풀다가 한가지 나의 부족한 점을 발견하여 포스팅한다. 일단 Find the cat의 문제와 풀이를 보자. 설명 : 대통령의 고양이가 납치되었다. 체포된 용의자는 USB를 가지고 있었다. 이를 이용해 고양이가 어느 도시에 있는지 밝혀내자. 압축을 풀고 난 후 파일을 FTK imager로 열어보면 위와 같이 확인할 수 있다. 해당 이미지 파일의 파일 시스템은 FAT32로 확인된다. 이 중 삭제된 파일을 찾을 수가 있는데 Files 폴더에서 revendications.odt 를 추출하면 다음과 같은 화면을 볼 수 있다. 뭔 소린지 모르겠다... 번역을 해보면 문제는 고양이의 위치를 알아야하기 때문에 고양이 사진을 찍었다면 위치 정보가 사진에 남을..
[Forensic] Cyber Santa is Coming to Town CTF
·
Challenge
CTFTime.org 둘러보다가 쉬운 난이도라길래 또 포렌식도 있어서 겸사겸사 풀어보고 Write-up을 써본다. 이 대회에 출제된 포렌식 문제들은 다양한 포렌식 분야를 접할 수 있어서 좋은 것 같았다. https://www.hackthebox.com/events/santa-needs-your-help 에서 5일가량 진행했다. 필자는 포렌식 문제만 풀었으므로 자세하고 정확한 write-up과 다른 문제들은 github과 ctftime에서 찾을 수 있다. 1. baby APT 문제 파일을 다운로드 받고 글을 대충 살펴보면 사람들이 산타의 새로운 웹사이트에서 산타에게 편지를 쓸 수 있게 되었다고 하는데 APT라는 그룹이 산타의 서버를 공격하여 선물 목록을 파괴했다라고 대충 해석이 된다. 다운로드된 파일은 ...
[Windows forensic] 윈도우 아티팩트 분석
·
Forensics/Windows
윈도우 아티팩트는 윈도우 사용자가 수행한 작업에 대한 정보를 포함하는 개체라고 한다. 또한 아티팩트들은 각기 다른 성격과 유형을 가지고 있으며 운영체제마다 위치도 다르다. 마찬가지로 윈도우 아티팩트에는 사용자의 흔적에 따른 이벤트 및 중요한 정보가 포함되어 있기 때문에 포렌식 분석을 수행할 때 조사관은 특정 아티팩트를 통해 정확한 증거를 찾을 수 있어야 한다. 따라서 다음과 같이 윈도우 아티팩트에 대해 이해하고 발견할 수 있는 위치를 기억하고 분석할 수 있도록 하자. ※ 이 글은 필자 본인이 보기 쉽게 요약 정리 한 글이며, https://www.sans.org/posters/windows-forensic-analysis/ 의 자료를 다운로드하여 참고 후 작성한 글입니다. 또한 아티팩트의 버전은 윈도우 ..
[Memory Forensic] Wargame Team H4C
·
Challenge
얼마전 Team H4C의 해킹노트 온라인 컨퍼런스 유튜브를 보다가 해킹문제를 만들었다는 소식을 접했다. 일단 포렌식 문제는 무조건 도전하는 나라서 들어가봤다. 몇몇 스테가노 문제들이 보였고 마지막 문제는 용량도 크고 확장자도 달라서 흥미로워보였다. 이것은 어디서 본 듯한... 문구다. 일단 2문제 풀고 얼른 이 문제에 도전해봤다. 파일을 다운로드해주면 2기가에 도달하는 .mp4 확장자의 파일을 하나 볼 수 있을 것이다. 하지만 동영상으로 열리지 않고 HxD로 열어도 동영상 시그니처를 찾아볼 수가 없다. 역시 램을 본다는 것은 R.G.B 값을 구해야하는 것이었따 가 아니라 메모리 포렌식이었다ㅋㅋ 리눅스를 이용하여 Volatility로 자세히 분석해보자. 명령어가 익숙치 않다면 아래 블로그 링크를 참고하자...
NTFS 개념 및 분석
·
Forensics/Disk
보호되어 있는 글입니다.
FAT 개념 및 분석
·
Forensics/Disk
보호되어 있는 글입니다.
root-me IRC 환경 및 파일 다운로드 문제
·
etc
포렌식 워게임, CTF 문제들을 풀다가 root-me.org 에도 좋은 문제가 있다는 것을 발견하였다. 포렌식을 잘하시는 블로거분이 추천해주시기도 해서 도전해보기로 한다. 포렌식 뿐만아니라 다른 분야의 문제도 많으니 관심이 있다면 아래 링크를 클릭하여 도전해보길 바란다. http://root-me.org Bienvenue [Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité Plusieurs centaines de challenges sont à votre disposition pour vous entrainer dans des environnements variés, non simulés et maitriser un grand..

티스토리툴바