Information Security

문제 설명 최근 제 시스템이 해킹당했습니다. 해커가 많은 정보를 훔쳐갔을 뿐만 아니라 제 아주 중요한 파일도 삭제했습니다. 복구 방법을 전혀 모르겠습니다. 현재로서는 이 메모리 덤프 파일만이 유일한 증거입니다. 제발 도와주세요. 참고사항 : 이 챌린지는 1개의 플래그로만 구성됩니다. 이 랩의 플래그 형식은 다음과 같습니다. inctf{s0me_l33t_Str1ng} 메모리 덤프 파일의 운영체제를 확인하였습니다.python vol.py -f MemoryDump_Lab4.raw imageinfo pslist 플러그인을 이용하여 프로세스를 먼저 확인한 결과 StikyNote.exe 프로그램이 수상해 보입니다.python vol.py -f MemoryDump_Lab4.raw --profile Win7SP1x64..

문제 설명악성 스크립트가 제 시스템에 저장된 매우 비밀스러운 정보를 암호화했습니다. 정보를 복구해 주시겠습니까?참고사항-1 : 이 챌린지는 깃발 1개로만 구성되어 있습니다. 깃발은 2개로 나뉩니다.참고사항-2 : 두 번째 깃발을 얻으려면 첫 번째 깃발이 필요합니다.이 과제를 해결하려면 이 추가 도구가 필요합니다.$ sudo apt install steghide이 랩의 플래그 형식은 다음과 같습니다. inctf{s0me_l33t_Str1ng} 메모리 덤프파일의 운영체제 버전을 확인하였습니다.python vol.py -f MemoryDump_Lab3.raw imageinfo cmdline 플러그인을 이용하여 명령줄을 확인해 보았습니다.python vol.py -f MemoryDump_Lab3.raw --pr..

문제저희 회사 고객 중 한 명이 알 수 없는 오류로 인해 시스템 접근 권한을 잃었습니다. 그는 매우 유명한 "환경" 운동가로 알려져 있습니다. 조사 과정에서 그는 브라우저, 비밀번호 관리자 등을 주로 사용한다고 밝혔습니다. 이 메모리 덤프를 분석하여 그의 중요한 정보를 찾아 저희에게 보내주시면 감사하겠습니다.참고사항 : 이 챌린지는 3개의 플래그로 구성되어 있습니다. imageinfo 플러그인을 통해 메모리 이미지의 운영체제를 확인하였습니다.python vol.py -f MemoryDump_Lab2.raw imageinfo pslist 플러그인을 통해 프로세스 목록을 확인해 보면 Chrome.exe, KeePass.exe 프로세스들이 동작하는 것을 알 수 있습니다.python vol.py -f Memor..

문제 설명여동생의 컴퓨터가 고장 났어요. 다행히 이 메모리 덤프를 복구할 수 있었죠. 언니의 중요한 파일을 시스템에서 모두 가져오는 게 당신의 임무예요. 기억하기로는 갑자기 뭔가가 실행되고 있는 검은색 창이 떴어요. 컴퓨터가 고장 났을 때, 여동생은 뭔가를 그리려고 하고 있었어요. 그게 고장 당시에 대한 기억의 전부예요.참고사항 : 이 챌린지는 3개의 플래그로 구성되어 있습니다. imageinfo 플러그인을 이용하여 가장 먼저 운영 체제를 식별을 하였습니다.python vol.py -f MemoryDump_Lab1.raw imageinfo pslist 플러그인을 사용하여 프로세스를 확인했습니다. cmd.exe, mspaint.exe, WinRAR.exe 프로세스가 수상한 것을 알 수 있습니다.python..

시스템의 로그 파일$MFT디스크의 모든 파일과 디렉터리에 대한 정보를 저장하는 파일 시스템 핵심 데이터베이스파일 이름, 크기, 생성/수정/접근 시간 등 메타데이터 확인 가능[ROOT]\$MFT$LogFile파일 시스템의 무결성을 보장하기 위한 트랜잭션 로그시스템 종료 직전까지의 파일 시스템 변경 내역이 시간 순서로 기록되어 타임라인 분석에 매우 중요[ROOT]\$LogFile$UsnJrnl파일에 발생한 변경 이력을 추적특정 파일의 Create / Modify / Delete 등 구체적인 행위 추적 가능(예: malware.exe 생성, secret.txt 삭제 여부 확인)[ROOT]\$Extend\$UsnJrnl 첫 번째로 [root]\$LogFile 파일을 추출했다. 두 번째로 [root]\$MFT 파..

볼라틸리티 플러그인 windows.psscan를 이용하여 살아있는 프로세스를 확인하려고 했다. 수집한 psscan에서 explor3r.exe 수상한 프로세스를 확인할 수 있습니다. windows.filescan 플러그인 결과에서 explor3r.exe.img 파일을 추출하였다. strings를 이용하여 해당 파일의 문자열 추출하였다. 문자열을 보면, 바탕화면에 있는 .pdf 파일을 찾아 삭제하는 것을 알 수 있다. 해당 악성 프로세스가 종료된 시간이 UTC 시간이므로 한국 시간으로 변경 후 입력하여 UNIX Timestamp 확인하였다. HashCalc 도구를 이용하여 MD5 해시 값을 확인하였다.

볼라틸리티3 도구를 이용하여 filescan 옵션을 통해 로그를 확인 filescan.log를 열어서 .zip 확장자를 찾음 첫 번째 주소 0xe70bd0a9f1c0 덤프파일을 추출했다. 파일을 확인해보면 gmail에서 첨부파일을 다운로드된 것을 알 수 있다. 두 번째 주소 0xe70bd3530b30 덤프파일을 추출했다. 파일이 손상되었다고 압축풀기가 되지 않는 것을 알 수 있다. HxD 프로그램을 이용하여 report3.pdf 부분을 보면 89 50 4E 47 이미지 파일 헤더 값을 확인할 수 있다. 89 50 4E 47 ~ AE 42 60 82 PNG 값을 복사하여 새로 생성하였다. 이미지 파일을 열어보면 시간,날짜, 장소까지 알 수 있다.

HxD 프로그램을 이용하여 문제 파일을 열어보면 문제에서 ZIP파일이라는 것을 알 수 있다. ZIP 파일의 헤더인 50 4B 03 04 를 찾아보면 1009개의 검색되는 것을 알 수 있다. ZIP Local File Header 구조 정리표 Signature (시그니처)항상 \x50\x4b\x03\x04 값이다.Version needed to extract (압축 해제 필요 버전)이 파일을 압축 해제하기 위해 필요한 최소 PKZip 버전Flags (일반 목적 비트 플래그)Bit 00: 파일 암호화Bit 01: 압축 옵션Bit 02: 압축 옵션Bit 03: 데이터 설명자 존재 여부(Data Descriptor 사용)Bit 04: 향상된 디플레이트Bit 05: 패치된 데이터Bit 06: 강력한 암호화Bit..