Digital Forensic44 [DigitalForensic with CTF] Sans Network Forensic [Puzzle 3] #4(19) 4번 문제에서는 Ann이 클릭한 첫 영화 제목을 알아내야 한다. 영화를 클릭한다는 과정이 어떻게 이루어졌는지 궁금하여 HTTP Requests를 보기로 했다. 여러 Request를 보던 중, 'viewMovie'가 눈에 띄었다. 영화를 클릭한다는 것과 영화를 view하는 것은 서로 의미가 비슷하다고 느껴서, NetworkMiner의 Parameters항목에서 viewMovie를 검색하였다. 첫 번째로 클릭한 영화라 하였으므로, 결과값에서 가장 맨 위에 있는 307번을 주목했다. 와이어샤크에서 307번 프레임의 HTTP 스트림을 확인해보니 패킷이 송수신된 기록이 남아있다. 조금 내려서 살펴보던 중 웹 페이지 문법으로 보이는 코드를 볼 수 있었고, 제목을 뜻하는 'title'과 제목명인 'Hackers'가 .. 2021. 9. 24. [DigitalForensic with CTF] Sans Network Forensic [Puzzle 3] #3(18) 이번엔 AppleTV를 통해 검색한 내용의 기록을 찾아야 한다. NetworkMiner에서 'Parameters' 항목을 보니 패킷 헤더와 그 내용 같은 것들이 있다. Ann이 검색한 내용을 찾기 위해서는 Ann이 보낸 내용을 봐야하므로, 출발지 IP가 Ann이 갖고 있는 AppleTV의 IP주소인 192.168.1.10인 것만 검색 되도록 설정하였다. 8, 32, 43번... 프레임이 Ann이 보낸 것으로 보이는 것처럼 보이므로 와이어샤크에서 6번 프레임의 내용부터 자세히 살펴보기로 했다. 6번 프레임을 보니 HTTP를 통해 이루어진 것으로 보이기에 자세한 확인을 위해 HTTP Requests를 살펴보기로 했다. 쿼리가 길어서 길게 땡겨서 봐야하는 점이 불편하지만, 일단 내용 확인을 시작하기 전에 시간.. 2021. 9. 23. [DigitalForensic with CTF] woodstock-1(100) 이번 문제는 주어진 pcap파일에서 채팅 내용에서 특정 flag를 찾는 문제이다. 하나씩 패킷을 살피다가, 10번에서 해당 flag를 쉽게 찾을 수 있었다. 다른 방법으로는, TCP 스트림에서 'BITSCTF'를 검색하여 바로 찾을 수도 있다. 둘 중 하나의 방법으로 얻은 flag를 제출하면 문제를 해결할 수 있다. 2021. 9. 22. [DigitalForensic with CTF] Sans Network Forensic [Puzzle 3] #2(17) 이번 문제는 Ann이 사용한 AppleTV의 HTTP요청에 대한 특정 문자열을 구하는 문제이다. #1번 문제를 풀다가 User-Agent 항목을 본 것 같아서 이 항목만 검색되도록 필터링을 해주었다. 파라미터 값으로 'AppleTV/2.4'라는 문자열이 공통으로 있는 것을 볼 수 있다. 이 값을 제출한 결과, 정답 처리되었다. 이는 Ann가 AppleTV를 통해 접속하였다는 것을 의미한다. 2021. 9. 22. [DigitalForensic with CTF] Sans Network Forensic [Puzzle 3] #1(16) 이번 문제는 Ann이 최근 새로 사서 사용한 AppleTV의 Mac주소를 얻는 문제이다. 문제에서 주어진 pcap파일을 Wireshark로 열어보았는데, 찾아야하는 정보를 일일이 찾기가 번거로웠기에 NetworkMiner를 통해 열어보았다. 해당 AppleTV의 IP주소가 192.168.1.10이라 하였으므로 나열된 목록 중에 이와 일치하는 항목을 찾아보았다. 해당 항목에서 MAC주소를 알아내었기에 해당 12자리 문자열을 입력해보았으나, 오답 처리되었다. 이후 MAC주소가 콜론(:)으로 2자리씩 구분된다는 것이 기억나서 콜론을 6번 삽입해 제출하였는데, 마찬가지로 오답 처리되었다. 호스트를 잘못 선택했나 잠시 생각도 해보았는데, 아무리 생각해도 해당 IP와 일치하는 AppleTV는 하나 뿐이었기에 고민하.. 2021. 9. 22. [DigitalForensic with CTF] DefCoN#21 #1(1) 해당 문제의 초기화면이다. 배우자의 바람이 의심되는데 이를 밝혀내기 위한 문제 같고, 이를 위해 요일을 알아내야 한다. 우선 첨부되어 있는 pcap파일을 다운로드 받아 Wireshark로 열어보자. 패킷을 열어보면 수없이 오고간 패킷들이 있는데 3번 프레임이 TCP관련 패킷인 것 같아, 3번 패킷에서 TCP 스트림을 한 번 확인했다. 확인한 결과, 대화 내용으로 보이는 기록을 볼 수 있었는데, 그 중 표시된 부분에서 16진수로 된 문자열이 있어서 의심스러웠다. 무슨 내용이 오갔는지 궁금하여 16진수를 알파벳 문자열로 바꾸기 위한 작업을 했다. 위는 메모장에서 문자 바꾸는 기능을 통해 불필요한 특수문자들 및 띄어쓰기를 제거한 결과 값이다. 이 값을 온라인 변환 사이트에서 바꾼 결과, 읽을 수 있는 문장이 .. 2021. 9. 16. 사이버 수사 및 디지털 포렌식 관련 질의 응답 현직자분께 드린 질문과 답 내용 Q1. 스마트폰 OS 취약점을 통한 루팅(안드로이드일 경우 루팅-Rooting, iOS일 경우 탈옥-Jailbreak)으로 기기 내부에서 범죄 사실을 입증할 만한 증거를 찾아냈다고 가정했을때, 이렇게 찾은 증거는 법정에서 채택될 수 있는지? A) 디지털 포렌식에서는 '위법수집증거배제법칙'과 '독수독과 이론'이 적용된다. 즉, 법에 반하는 행위를 통해 얻은 증거와 그에 따른 추가적인 증거는 증거로서의 효력이 없다는 의미이다. 그러나 법에서 애매한 부분은 분명히 존재하기 마련이다. 개당 천 만원대~억 원대를 호가하는 취약점을 수사에 이용하여(취약점 뚫는 전문 업체에 의뢰 등) 이후 증거를 수집했다고 가정하자. 이 행위는 허가되지 않은 권한으로 OS를 건드린 것이기에 OS 관련.. 2020. 6. 3. 특정 파일(프로그램)이 malware인지 확인하는 방법 이와 같이 실행 가능한 어느 프로그램이 있다. 파일을 실행하기 전에 악성코드가 포함되어있는 파일인지 알아보기 위해 확인을 해보려고 한다. (백신 등의 프로그램을 사용하지 않는다는 가정) 확인하는 방법은 먼저 Hex에디터 등과 같은 프로그램에서 해시값을 얻는 것이다. 이를 얻기 위해 [체크섬]을 클릭하면, 해시값을 얻을 수 있는 여러 암호 알고리즘 목록이 뜬다. md5가 많이 쓰이므로 md5로 구해보자. [수락]을 클릭한 뒤 '체크섬' 항목에서 이 파일의 해시값을 얻을 수 있다. 이제, 구한 해시값을 통해 악성파일 정보를 많이 가지고 있는 'VIRUSTOTAL' 사이트에서 악성 여부를 알아볼 것이다. 'SEARCH' 항목 검색창에 입력하고 돋보기를 클릭해보자. https://www.virustotal.co.. 2020. 6. 3. 이전 1 2 3 4 5 다음
