보안 전공생의 공부

code를 찾으라고 한다. Network 창에서 png를 확인해보았다. 이때 stegography는 사용하지 말라고 하였으니, 다른 툴을 사용해 이 png 파일을 분석해야 될 것 같다. 일단 png 링크를 새 탭으로 열고, 파일을 바탕화면에 저장하였다. HxD 로 파일을 열어 png 파일의 헤더시그니처와 푸처시그니처가 양 끝에 있는 것을 확인하였다. 혹시 여러 파일로 되어 있는 것이 아닐까 싶어 WinHex 툴로 파일 카빙을 해주었는데, 별 다른 파일이 발견되지 않았다. 뭐부터 시작해야되나 고민하다 HxD툴에서 PNG 푸처 시그니처 앞에 있는 이 부분을 확인하게 되었다. Japng 가 png 의 또다른 유형인가 싶어서 구글링해보았다. APNG와 관련된 것인 것 같다 ! APNG는 움직이는 이미지 같은 것..

Download를 눌러 일단 문제풀이에 필요한 파일( MemoryDump(SuNiNaTaS) )을 다운로드했다. 메모리 덤프파일인 것 같다 ! volatility라는 툴을 이용해야하는데 설치가 파이썬 2.7x와 pycrypto를 설치하고 이것저것 설치해야되는 게 많았다. ghdwn0217.tistory.com/62 윈도우에 볼라틸리티(Volatility) 설치하기 1. python2.7버전 설치하기 설치하는 과정에서, 파이썬 환경 변수를 설정해주기 위해서 Add python.exe to Path를 다음과 같이 바꾸어 준다. 2. pycrypto 설치하기 >> http://www.voidspace.org.uk/python/modu.. ghdwn0217.tistory.com 그리고 volatility 공식홈..

첨부된 파일 내에 있는 chall.pcapng 파일을 wireshark로 열어주었다. 일단 무엇부터 시작해야될지 전혀 모르겠어 패킷을 살펴보던 중 PASS qazxsw12! 이라는 걸 발견했다. password로 쓰이지 않을까 싶다. 그리고 flag.zip 이라는 파일에 관한 패킷도 발견했다. FTP는 인터넷을 통해 한 컴퓨터에서 다른 컴퓨터로 파일을 전송할 수 잇도록 하는 방법과 그런 프로그램 모두를 일컷는다고 한다. (출처 : m.blog.naver.com/PostView.nhn?blogId=kostry&logNo=220899970512&proxyReferer=https:%2F%2Fwww.google.com%2F) 이 zip 파일을 열어야되지 않나 싶다. 그러려면 우선 zip 파일을 추출해주어야할 것..

zip 파일을 다운받으면 이렇게 txt 파일과 pcapng 파일이 있다. pcapng 파일형식은 기존의 pcap을 발전시킨 형식으로, 패킷캡쳐를 한 인터페이스 정보, 주석, 이름 확인 등 더 많은 메타데이터가 추가되었다. pcap는 packet capture의 약자로 네트워크 관리 분야에서 네트워크 트래픽 포착용 api를 구성한다. (출처 : chp747.tistory.com/55 blog.naver.com/PostView.nhn?blogId=jeong57281&logNo=221315419422&from=search&redirect=Log&widgetTypeCall=true&directAccess=false) 먼저, 텍스트 파일을 열어보면 불법 게시물을 올린 계정의 id와 pw, 글의 내용을 조사하라고 ..

첨부파일을 다운로드하고, 압출을 풀어보면 밑에처럼 훼이크 이미지를 확인할 수 있다. bmp 확장자에서 힌트를 얻었다. bpsecblog.wordpress.com/2016/08/21/amalmot_4/ 암알못의 암호핥기 – 스테가노그래피 막내선원의 암알못 탈출기, 고전암호 마지막 챕터! 스테가노 그래피(Steganography)에 대해 알아봅니다 :) 이번 편에서는 고전 암호 중 스테가노그래피(Steganography)에 대해 알아보겠습니다. 스테가노 bpsecblog.wordpress.com 위 사이트에서 이미지를 변조해 (LSB 변조) 데이터를 숨길 때 주로 jpeg, bmp 같은 24비트 이미지파일을 이용한다고 한다 ! 010Editor 툴을 설치해서 www.sweetscape.com/download..

첨부된 big.png 파일을 다운받아 열어보면 밑의 그림을 확인할 수 있다. bpsecblog.wordpress.com/2016/08/21/amalmot_4/ 암알못의 암호핥기 – 스테가노그래피 막내선원의 암알못 탈출기, 고전암호 마지막 챕터! 스테가노 그래피(Steganography)에 대해 알아봅니다 :) 이번 편에서는 고전 암호 중 스테가노그래피(Steganography)에 대해 알아보겠습니다. 스테가노 bpsecblog.wordpress.com 교육자님이 참고하라고 주신 자료이다 :) 아마 이 문제는 스테가노그래피와 관련된 문제일 것이다. * 스테가노그래피 : 사진, 음악. 동영상 등의 일반적인 파일 안에 데이터를 숨기는 기술 - 방법 (1) 삽입(이미지에 데이터삽입) : 헤더시그니처 앞에 / 푸..

partition 3은 용량도 꽤 있는데, 아무것도 보이지 않아서 사용하지 않고 있었다. Unrecognized file system 이라는 문구만 있다. 구글링해보니 이 partition자제를 암호화한 것일수도 있다는 것을 알았다. FTK Imager로 partition3 전체를 컴퓨터로 복구시켰다. 그리고 암호화된 partition을 마운트하기 위해 veracrpt 프로그램을 설치했다. veracrypt 다운로드 : sourceforge.net/projects/veracrypt/files/latest/download 참고 : extrememanual.net/34032 디스크 암호화 프로그램 Veracrypt 사용법 - 익스트림 매뉴얼 윈도우는 운영체제에서 지원하는 BitLocker(비트로커)를 이용해..

Window eventviewer를 통해 계정이 삭제된 시각을 찾아낼 수 있다. 기록된 이벤트 로그의 의미를 파악할 수 있어야하는데, 이때 각각 기록된 로그의 의미는 각 로그가 가지는 이벤트 ID로 구분할 수 있다. 계정과 관련된 내용은 Security라는 이벤트소스를 통해 알 수 있다 ! FTK Imager 툴을 이용해 Windows - System32 - winevt - Logs 경로를 따라가면 Security.evtx 라는 파일이 있다. 이를 컴퓨터로 복구시켰다. 이를 열어보면 다음과 같다. 무수히 많은 event ID가 있는데, 그 중에서 계정삭제와 관련된 ID는 4726이다. docs.microsoft.com/ko-kr/windows/security/threat-protection/auditin..