amy06s 님의 블로그

[root]\Windows\Users\{USERNAME}\NTUSER.DAT[root]\Windows\System32\config\DEFAULT[root]\Windows\System32\config\SAM[root]\Windows\System32\config\SECURITY[root]\Windows\System32\config\SOFTWARE[root]\Windows\System32\config\SYSTEM해당 경로의 파일 수집 및 각 파일의 LOG1, LOG2 같이 수집 RLA 도구로 해당 레지스트리들을 dirty 상태에서 clean 상태로 만듦mkdir로 registry_clean 폴더를 만들고 명령어 실행& "C:\Program Files\Get-ZimmermanTools\net9\rla.exe" ..

ftk imager로 열어보면 뭐가 많다..[root] \Users\{USERNAME}\NTUSER.DAT[root] \Windows\System32\config\DEFAULT[root] \Windows\System32\config\SAM[root] \Windows\System32\config\SECURITY[root] \Windows\System32\config\SOFTWARE[root] \Windows\System32\config\SYSTEM해당 경로의 파일들과 각 파일에 대한 LOG1, LOG2 파일 수집Find the USB와 동일하게 수집하고 regisry_clean을 해준다HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunRegistry Explorer에..

ftk imager로 열여보면 뭔가 이상하다찾아보니 VBR이 깨져있어 그렇다고 한다E01파일을 row 타입으로 추출해서 Hxd로 열어보고 맨 끝으로 가면 볼륨 맨 끝에 복구영 VBR이 있다 이걸로 NTFS 파일 시스템 복구 가능VBR 섹터 0x200을 복사해 맨 앞에 붙여넣고 ftk imager로 열었다여러 파일들 중 DO_NOT_READ_THIS.png에 flag 힌트가 있다 sha-256이 정답아래에 있는 keyfile의 텍스트를 복사해 해시값을 HashCalc로 구하면 된다답은 DH{e71e2b1230fd090aebd3a347310acac611e0161684fb4b7703135b6cc91bb7ac}

Hxd로 여니까 FAT32가 보인다A는 1볼륨 크기 = 0x20~0x23 * 0x200(섹터 크기)==> 0x003E8000(리틀 앤디안이라서 뒤집음) * 0x200 = 0x7D000000볼륨 시리얼 번호는 0x43-0x46(리틀앤디안이라서 뒤집기)==> 0x0EA8EE8A 1+0x7D000000+0x0EA8EE8A를 10진수로 변환하면 2343104139답은 DH{2343104139}

파일 압축을 푸니까 빨간색 challenge.jpg 파일이 보인다ftk imager로 해보자어 안열린다 jpg라고 떴는데 아니었나?Hxd로 가보자음 헤더 시그니처가 정상이 아니다푸터 시그니처도 살펴보고 분석해보자푸터 시그니처를 보러 갔는데 flag가 있었다DH{s1mpl3_st3g4n0gr4phy_w1th_c0nc4t} 오 당연히 가짜일 줄 알았는데 정답이다

이미지는 평범해 보이지만 숨겨진 무언가가 있는 것 같습니다=> 스테가노그래피? 파일 은닉? 예상하면서 가져왔다..ftk부터 가보자 ftk imager로 열어보면 png와 파이썬이 있고 png는 보이는 게 없고, 파이썬은 코드가 적혀 있다코드 해석를 해보면 1. 데이터 암호화 및 압축XOR 연산을 통해 1차 암호화Base 64 인코딩: 암호화된 데이터를 텍스트로 변환zlib 압축: 데이터 크기 줄이기 위해 압축=> 이미지에 숨겨진 진짜 데이터는 c 2. LSB 스테가노그래피:각 픽셀의 RGB 색상 끝에서 1비트만 살짝 변환 3. 파일 결합이미지 푸터(IEND): IEND 청크 위치를 탐색데이터 결합: 정상 이미지에 데이터를 숨김 flag.png의 바이너리 내용을 이어붙임 => 코드 순서를 역으로1. 파일 ..

문제 이름만 봐서는 Window랑 관련된 것 같다 window + s 커맨드는 검색창을 연다고 한다 무엇가 찾는거? 아님 그 검색한 흔적 찾기?같다포렌식 중에 윈도우 포렌식이란게 있었으니까 이거랑 관련 있지 않을까?파일을 Hxd로 열어보니까 PK 말고는 딱히 볼게 없다zip 파일이라 그런가 ftk imager 부터 가서 파일 있으면 추출해야겠다오 있다 쓸모있어보이진 않지만..Windows.edb를 추출해서 ftk imager로 다시 열어보니 안에 unllocated space가 있다 확장자 .edb랑 unllocated space가 뭔지부터 알아야 할듯.edb: 윈도우 내부에서 사용하는 데이터베이스 파일로 윈도우에서 정보를 저장하는 저장소포렌식에서 검색한 파일 이름, 접근했던 파일 정보, 이메일 관련 데..

Hxd로 파일을 열어보니 Fix the Disk!!!! 라는 문구만 나온다헤더, 푸터 시그니처는 보이지도 않는다보통 이런 경우는 부트레코드에서 문제가 발생했을 거라고 한다근데 부트 레코드가 뭔지 모르는데일단 계속 살펴보자..쭉 내려보다가 Disk error Press any key to restart라는 문장을 찾았다그리고 조금 위에 FAT32라는 단어도 있다 보통 문제 이름이 큰 힌트니까 연관있지 않을까이거에 대해 구글링을 해보니까 FAT 32 파일 시스템이란 게 있는데 이거랑 관련있는 것 같다요거랑 부트 레코드에 대해 공부해보고 계속해야 할 것 같다 https://infosec-noh.tistory.com/entry/FAT32-%ED%8C%8C%EC%9D%BC-%EA%B5%AC%EC%A1%B0?utm..

문제 ftk imager로 여니까 flag.png 파일이 있고 페이크 플래그라고 나온다.일단 추출해서 Hxd부터 보자 시그니처는 멀쩡해 보인다.. 중간에 요런게 있다 Pictures 안에 있나? 힌트인지는 잘 모르겠다 이거 말고도 App Data, Application Data, Video 등 뭐라 적혀있는거 보면 숨겨진 게 있는 듯 IEND 뒤에도 PK 후로 뭐가 계속 이어지는데 읽을 수 있다.. 앞으로도 PK..로 시작하는 건 추출해봐야 하는 듯따로 추출부터 해보자 IEND 이후 처음 PK랑 마지막 PK를 지정하고 부분저장으로 real_real 파일을 만들고 다시 ftk imager로 열었다이렇게 나온다Picture 디렉토리에 나온다

ftk imager로 열어보니 whitebear.png 가 있다. 추출해서 Hxd로 열어보자 PNG 시그니처는 전부 정상으로 보인다.. 시그니처 문제도 아닌데 문제 이름이 basic forensic이니까.. 스테가노그래피? 리눅스에서 스테가노그래피 명령어 써보고 다시 오면 될 듯 원래 리눅스에서 명령어 쓰려고 했는데 문제가 생겨서 스테가노그래피 사이트가 있길래 여길 활용해서 찾았다