~~마띠의블로그~~

big.png 라는 이름으로 아래 사진이 주어진다. 파일명과 사진으로 봐서 사진에 숨겨진 또 다른 파일을 extract하면 small이 나올 듯 하다. HxD로 까보면 별 건 없고 가장 마지막에 "PASS:1234" 라는 문자열이 있다. png 스테가노그래피 복호화를 지원하는 OpenStego를 통해 extract 시도 똑같아 보이지만 아래는 extract해서 나온 파일이다. 이름은 medium.png 여기서 small.png를 얻기 위해 다른 방법을 쓸 것 같았지만 똑같은 방법으로 2번 반복하면 falg.txt가 나온다. 50점 문제가 더 재밌었다..

문제 파일 fore 1.zip 은 아무 힌트 없이 암호가 걸려있다. 그래서 이 문제처럼 암호화 비트를 없애보았다. SuNiNaTaS 28 (FORENSICS 200pt) down 버튼을 누르면 zip 파일이 다운되는데 아래 3개 파일이 들어있고 암호가 걸려있다. 일단 zip 파일 구조를 살펴보자. 다음은 So_Simple.zip 파일의 헥스 코드다. 일단 헤더 - 50 4B 03 04, 푸터 - 50 4B 0.. hec-ker.tistory.com game.exe와 flag.txt에만 암호가 걸려있으므로 0x504B0102 를 찾아 암호화 비트 1을 0으로 바꾸었다. 그러고 압축을 해제해봤더니 아래처럼 손상되었다고 뜬다. Winrar로 다시보니 CRC가 훼손되었다고 한다. 그래서 CRC 복구 툴을 쓸까 ..

주어진 zip 파일을 풀면 똑같이 생긴 2개의 파일이 나온다. 두 파일을 HxD 기능인 파일 비교를 통해 함 보면 각이 나온다. 'ND...' 로 시작하기 때문에 두 파일의 다른 바이트가 플래그일 것이다. 예상대로 다른 바이트를 따로 모으면 플래그가 나온다!

ㅎㅎ.. 오 되게 신박하다 마지막 슬라이드에 뭔가 숨겨져 있는 것 같다. 대충 PPT를 ZIP으로 만들고 압축 풀고 나면 그 파일에 플래그가 있다는 뜻.. ppt > media 폴더에 이상한게 있네

주어진 zip 파일은 에러가 뜨면서 압축이 안풀린다. 음..다시보니 PK가 아니라 PP다.. PK로 바꿨더니 잘 풀린다. 압축 풀고 나온 파일이 FINDAJOB.txt 파일이다... 엄청나다;; 불순물들이 많아서 중괄호랑 대문자만 나오도록 했다!

이번에도 열리지 않는 png 파일이 주어진다. HxD로 까보면.. 바이트 단위로 뒤집혔다. 파이썬의 [::-1]을 써서 뒤집어보자. f1=open('manduu23.png','rb') manduu23 = f1.read() rev_manduu23 = manduu23[::-1] f2=open('rev_manduu23.png','wb') f2.write(rev_manduu23) f2.close() 문제 이름을 맛깔나게 지으신다..

당장 열 수 없는 png 파일이 하나 주어진다. HxD로 까보면 시그니처가 이상하다. 보이기로는 똑같이 '....'으로 보이지만, PNG 파일의 헤더 시그니처는 '89 50 4E 47 0D 0A 1A 0A'다. 헤더 시그니처 8 바이트 자리 중 뒤 4자리를 정정한다. 플래그가 보인당

주어진 파일을 analyzeMFT 툴을 이용해 정돈된 형태로 출력했다. 내보낸 엑셀 파일에서 'exe'를 찾으려고 했다. '악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적'이라고 언급했기 때문에 일단 exe 실행 파일 중 수상한 것이 있을 수도 있다는 생각 때문이었다. 검색 결과 setup.exe, WinHex.exe, upgrader.exe 그리고 r32.exe를 찾을 수 있었다. 그 중 r32.exe가 누가봐도 수상해보인다. 문제 지문에서 흔적을 지우려고 시도했다는 정보를 주었기 때문에 휴지통에 위치하며 프로그램명이 익숙지 않은 r32!가 범인이다. r32.exe에 관한 정보만 따로 뽑아 메모장에 복붙한 것이다. 여기서 생성 시간을 찾을 수 있다. 2012-02-22 17:39:18..

Conversation 창에서 다음과 같은 패킷을 찾을 수 있다. 라는 문자열이 포함된 것을 보니, 동영상 파일을 카빙하는 것이 중요할 것 같다. 일단 140 KB 통신 패킷을 Raw로 선택해 다른 이름으로 저장하였다. MP4 파일의 헤더 시그니처는 '00 00 00 18 66 74 79 70'이다. 또 검색이 쉽게 잘됐다. 이전은 싹 다 지우고 파일명 뒤에 MP4를 붙이면 아래와 같은 동영상이 나온다. "YOU HAVE DIED OF DYSENTERY"

Betty와 Gregory가 만나기로 한 도시를 찾는 문제다. 문제 패킷을 Network Miner에 넣어보자. 이 곳에서 총 3개의 메시지를 확인할 수 있다. (1) 만나기로 한 수요일에 Betty가 노쇼했나 보다. 그리고 친구 없이 단 둘이서만 만나자고 하며 '그 곳'에 대한 비밀번호를 보낸다. - PW: S3cr3tVV34p0n - Betty's mail: betty_swindoll@aol.com - Greg's mail: d34thm3rch4nt@aol.com (2) 별 내용없다. 그냥 Greg도 가겠다고 한다. (3) 마지막 메시지를 푸는 것이 문제의 해답이 될 것이다. 'PRIVMSG'라는 명령어와 파라미터로 보아 [PRIVMSG D34thM3rch4nt
DCC SEND r3nd3zv0us ..