wintersnowaAa wintersnowaAa

머리가 아프다.어째 문제를 반복할 수록 더 어려워지는 기분이다.새로운 유형의 단서들이 늘어가는 것 같다...5번 문제더보기이전까지 3번 문제에서 구하지 못한게 너무 많아서너무나도 어렵다.그래서 풀이를 조금 보았는데풀이를 보더라도 내가 만약에 풀이를 보지않았더라면평생 찾아도 못 찾을 정도로 탐색 능력이 없었다.비트낭님께서는 encase의 bad signature 표시해주는 기능을 통해서 훼손된 시그니처를 갖는 파일을 찾아내어서 단서를 분석했는데,일단 나는 encase를 사용할 수 없고, autopsy에서는 Extention Mismatch Detected 카테고리에서도 훼손된 시그니처 값이 있는 파일을 찾아내줄 수 없다.심지어 증거의 시작점이 되는 파일은 jpg 파일이였는데 해당 파일이 있는 폴더에는 jp..

문제 들어가기 앞서.더보기아무래도 이번 문제는 3번부터 7번까지 종합적으로 풀게될 것 같다.시나리오상 확실하게 나와야하는 증거는1. 지령 관련 증거2. 계획서3. 연락처4. 선거관리위원회 주변 촬영 증거 4장이렇게 일듯하다.아무래도 안티포렌식 흔적을 찾아내면 자연스럽게 다 나오겠지?일단 체크해야할 것1. 파일 시그니처와 확장자 불일치 파일2. 1번에서 나오지 않은 시그니처 훼손된 흔적3. lnk 파일도 점검해야한다.4. 메일파일 ost, pst, msg도 확인해야함5. 스테가노그래피 기법이 들어가있는지 파일 구조도 확인.6. 브라우저 아티팩트7. 삭제된 파일 흔적3번 문제더보기.와 아무리 찾아도 의심될만한게 안찾아진다...그나마 의심할만한건3번 파티션에 위치한 파일들 중2019와 2020 폴더에 있는 파..

풀이과정이 너무 한쪽이 길게 늘어지면 가독성이 떨어지므로 나누어서 작성해야겠다.2번 문제 (디스크 서명)더보기 이전에 구한 것들과 비슷하게 나온다.근데 USB의 디스크 서명은 처음 듣는다...모르는건 깔끔하게 인정하고 풀이를 봐야겠다...디스크 서명은 MBR에 위치한다고 한다.그 중에서 파티션 4개를 나누는 64바이트 값 이전에 2바이트를 띄우고 4개의 바이트이다.0x3C 64 6E 75 (빅엔디안) 인데뭔가 보면서 이상하다.분명 MBR 부분에 부트 레코드가 있어야하는데부트 레코드가 없다. 그냥 0x0으로 채워져 있다.이건 또 어떻게 복구하나 싶었는데 비트낭님께서 mbr은 없더라도 잘 인식하는 경우도 많고, 크게 신경 안써도 된다고 하셨다. ㄱㅊ을듯.그리고 두번째 파티션인 FAT32 파일시스템도 복구를 ..

아 졸리다. 이번 문제는 새로이 알게된 것들이 많다.문제 이미지 파일 왤케 크지 무섭게.압축형태인 e01이 아니라 원본(dd)형태인 001이라서 그런가.1번 문제더보기평소처럼 하면될듯하다.레지스트리 편집기에 들어가서 StorageDevicePolicies 키를 만들고 DWORD 값으로 WriteProtect 값 1로 설정.다운로드 받은 용량이 비교적 큰 001 이미지 파일을 FTK Imager로 열어서 복사본을 만든다.과정이 어려운 분들은 2018 문제를 보고 오시면 될듯합니다.이 2개의 해시값이 일치하면된다.일치한다.FTK Imager로 add envidence 해도 같게 나온다.

3번 문제더보기안티포렌식 기법이 적용된 파일들을 분석해야한다.일단 안티포렌식 기법이 적용된 파일들을 찾아야하는데,가장 먼저 생각이 드는 것은 확장와 시그니처가 일치하지 않는 파일이다.이 파일들을 모두 확인해보면,Zond:Identifier로 ADS에 사용되는 파일들은 제외하고 찾아보면,이전에 봤던 그 파일들이다.여기서 조금 신경쓰이는 부분이시나리오에서 요구하는 주요 증거들을 찾으라는 것이다.결국엔 킹유출이 디자인을 유출한 증거를 찾아야한다.일단 d2793e98fd7b0e49b9d62797061199ed 의 내용을 autospy로 확인해보면몇가지 키워드가 나온다.일단 스테가노그래피 기법이 들어간 것 같고,몇가지 파일 이름들이 나온다Decode.exe.lnkDecode.exeBest.docxBest.docx..

2-1번 문제더보기d1d3a12062725e2881fe1fa9fe32c638 의  MD5 값을 가진 파일을 찾아야한다.FTK Imager로는 기능이 부족할테니 Autopsy를 써보자.일단 이전처럼 확장자와 시그니처가 맞지 않는 파일들부터 봐보자.대부분의 파일들은확장자 뒤에 :Zone.Identifier 로 붙었다.이게 뭐인지 검색해보면,Alternative Data Stream 이였구나.그냥 메타데이터에 대한 정보를 저장하는 파일이라고 생각하면 편하다.Zone.Identifier은 너무 많으니까 넘어가고그 외의 파일들은압축파일이지만 jpg 확장자를 가진 오징어구이.jpg압축파일이지만 pdf 확장자를 가진 d2793e98fd7b0e49b9d62797061199ed.pdf이 두개를 확인해보자.만약에 이 두개..

2018은 대략적으로 풀이를 보고 따라가며 풀어봤다.2019 모의 문제는 일단 처음부터 가능한 부분까지 혼자 풀어보고,막히는 문제는 풀이를 보면서 해보자...일단 시나리오는 이러하다,회사의 직원 킹유출씨가 디자인을 유출한 정황이 포착.책상에서 USB 발견, 해당 USB에는 다양한 안티포렌식 기법. (이거 꽤 중요해보임.)어떠한 이득을 취하였는지 파악해야한다.1-1번 문제더보기증거물 사본을 생성하고 각 문제 항목의 답안을 작성하시오.USB 증거 사본을 생성하는 과정과 결과를 단계별로 기술하시오.이전의 문제와 비슷하다.일단 나름대로 정리해본 과정은 이러하다.1. 레지스트리 편집기를 통해 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control에 StorageDevicePo..

4번 문제는 어느정도 서술형의 문제라고 보면 된다.1~3번의 과정에서 얻어낸 이메일의 증거를 수집해서 법정에 제출하였다고한다.그러니까 친구에게 시나리오를 부탁해서 얻어낸 과정의 유출 이메일 파일을 제출한 것이다.몇가지 짚고 넘어갈 부분은 1. 해당 문제는 경찰에 고소 하였으므로 형사소송법 상 증거법칙을 따라야한다.그러므로 엄격한 증명이 이뤄줘야한다. 2. 그래서 전문증거법칙이 적용되는 상황이다.일단 이메일 증거는 인적 증거가 아니라 물적 증거이다.그리고 서류의 내용이 유출의 증명을 하므로,어떻게보면 서면으로써의 증거능력을 갖게 된다.해당 증거는 전문증거인지 짚어봐야한다.1. 사람의 경험적 사실에 관한 대체증거2. 법정 외 진술에 관한 증거3. 그 진술내용의 진위 여부를 입증하기 위해 제출하는 증거이 중에..