분류 전체보기
GrrCON 2015 #2
아래 포스팅에 이은 두 번째 문제입니다. GrrCON 2015 #1 vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시적으로 중지 된 것. VM이 일시 중단 될 때 소프트웨어에 �� hec-ker.tistory.com 먼저 imageinfo를 살펴봤습니다. 그 후 pslist를 뽑아 '이메일' 키워드와 관련된 "OUTLOOK.EXE"의 PID를 확인하고, memdump를 사용해 덤프를 떴습니다. 그 dmp 파일의 문자열을 추출해 3196.txt로 뽑아내고 플래그 형식인 '.exe'로 검색하니, 특정한 실행 파일 한개를 발견했습니다.
InCTF 2020 Forensics_Investigation
Forensics_Investigation The problem seems to be long, but we just should get Adam's last time using the Windows calculator and the number of times he used Google Chrome. The given file as a problem, is "Investment.7z". You can get the "Windows.vmem" file when you extract it. The 'vmem' file is a backup file of VM Ware's paging files that is volatile and can only be viewed during or paused virtua..
SuNiNaTaS 19 (FORENSICS 154pt)
구글링해서 나오는 컨버터 사이트 중에는 이게 제일 나은 것 같아요 Convert text to binary - Converters About Convert text to binary tool Convert text into binary. Computers store all characters as numbers stored as binary data. Binary code uses the digits of 0 and 1 (binary numbers) to represent computer instructions or text. Each instruction or symbol gets www.unit-conversion.info binary -> text 그렇게 나온 문자열이 아래와 같습니다 NVCTFDV..
SuNiNaTaS 15 (FORENSICS 255pt)
mp3 파일이 하나 주어집니다. 나비의 다이어리! mp3 파일의 시그니처는 '49 44 33(ID3)' mp3 파일 받자마자 Audacity로 파형, 스펙트럼 부터 찾아봤습니다. 0, 1을 아스키로 변환하거나, 베이컨 암호거나, 모스 부호거나... 생각했는데 정말 아무 것도 안나왔슴다 그래서 그 스펙트럼을 캡쳐해서 아래 사이트가서 삽질을 시작했슴다 Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch ..
ctf-d 저희는 디스크 이미지를 찾았습니다. (100)
FTK, Autopsy로 열어봤지만 깨졌습니다 그래서 HxD로 까봤어요 쭉 내리다보니 JFIF 라는 문자열을 발견할 수 있었고 잘 보니 JFIF 헤더 시그니처가 보이네여 그래서 처음 ~ 001403FF 까지 삭제해봤습니다 그랬더니 바로 플래그가 나왔 그런데 'FF D8 FF E0 00 10 4A 46(헤더)', 'FF D9(푸터)'가 아직 꽤 많았어요 근데 다 훼이크였고 라이언 구슬링 사진잌ㅋㅋㅋ 암튼..
splitted (100)
본격적으로 파일을 분석하기 전에 HxD로 까봤다. 혹시 몰라 'flag'라고 검색해보니 아래와 같이 'flag.zip'라는 파일명이 다수 보였다. 통신에 쓰일 각이다. 와샥으로 pcap 파일을 열어봤다. 간간히 flag.zip라는 파일명이 보였고, 얼마 후엔 'Partial Content'를 발견할 수 있었다. 요청한 flag.zip을 나눠서 보내는 그 조각이 Parial Content일 것이다. 더 좋은 방법이 있겠지만, Length 값 내림차순으로 정렬하니 Partial Content를 전송하는 패킷만 모을 수 있었다. 그 중 아무 패킷이나 까봤더니 'flag.psd'라는 파일명도 볼 수 있었다. psd 파일이 포토샵 파일로 알고 있는데, 아마 저 데이터들을 모아 포토샵으로 열면 플래그가 있을 것 같..
basics (100)
여기에 들어가서 https://29a.ch/photo-forensics/#pca Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 이렇게 조정했더니 이런 플래그를 발견했다
이 파일에서 플래그를 찾아라! (100)
sunrise.zip 안에 sunrise.png가 있었음 헤더 푸터도 잘 있음 이건 저번에 만든 png 파일 구조 중 일부.. 세로 크기를 이렇게 수정해보면 이렇게 밑에 플래그가 보인다.
내 친구는 이것이 특별한..., 계속 주시해라! (100)
img.jpg 입니다 HxD에 까봤습니다 바로 플래그가 보였어여 아래 사진이 Proxy.jpg HxD로 까봤더니 역시 푸터 부분에 플래그가 있었다.
GrrCON 2015 #1
vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시적으로 중지 된 것. VM이 일시 중단 될 때 소프트웨어에 의해 자동으로 생성되고, 스냅 샷 (.VMSN 및 .VMSD 파일)과 다름. Volatility 사용하자 옵션과 플러그인 설명 여기까지 psscan 출력 결과이다. 여기서 다시 한 번 문제를 보면, '이메일'이 키워드다. 키워드 '이메일'과 관련한 'OUTLOOK.EXE'가 보인다. OUTLOOK.EXE의 PID는 3196, 이를 덤프 떠보자. 3196.dmp 파일을 얻었다. 이제 strings.exe를 사용해서 덤프가 포함한 문자열을 추출해보자. '@', '.co..
Three Thieves Threw Trumpets Through Trees (100)
jpg를 얻었다! 사진은 깨집니당 wav 파일이었다 wav로 변경했고 들어보자 1초짜리고 뭐라는지 모르겠지만 대충 거꾸로 돌려야겠다는건 알겠다. 결국 원본에서 -> 좌우 뒤집기 -> 3초로 늘리기 이렇게 변조한 파일을 들었더니 남자가 플래그를 말해주고있었다.