wintersnowaAa

시작하기 전에 앞서 이번 문제는 정말 어렵다...문제가 꽤 많아서 제 블로그만 보고 공부를 하시는 분들은 다른 분들의 문제 풀이도 보시고비트낭(bitnang)님의 이전 문제들을 먼저 풀어보신 후 최대한 익히시고 이번 문제에 임하시는걸 추천합니다https://bitnang.notion.site/2024-0f0bae5498cb42c7a25134ad8803cc17 [무료도구]2024 상반기 연습문제 | Notion들어가기 전에..bitnang.notion.site모든 문제는 비트낭님께서 만드셨습니다.(여담으로 이번 문제는 현우랑 만기 형한테 도움을 좀 받았다... 역시 문제를 많이 풀어본 사람들은 다르다는 생각이 들었다. 그리고 여러번 물어봐도 친절하게 답해줘서 항상 고맙수)풀기 전에더보기문제가 많으므로 파일..

이번 24년 시험부터 학회에서는 시험장에서 사용할 수 있는 도구들을 따로 명시해주었고, 그에 따라서 좀 더 실기 시험을 응시하는데에 준비를 철저히 해야한다는 생각이 든다.사용할 수 있는 도구 목록들은 이러하다.대략적으로 내 머릿속에서 시험장에서의 흐름을 정리하고, 구현하기 위해서 글을 쓰는 것이다.실제로 이러한지는 토요일날 직접 확인하고 후기 글로 확정짓겠습니다.이 글의 근거는 모두 비트낭님의 노션 글을 기반으로 한다.1. 시험장에 들어가면 주는 것총 3가지를 준다고한다.1. 문제지(시나리오와 문제)2. 분석 대상 USB3. 답안 제출용 USB2. 시험 시작더보기시험지와 USB들을 받으면 가장 먼저 해야할 것들을 순서대로 적자면1. 쓰기방지2. 분석 대상 USB 연결3. USB 물리 디스크 이미징(dd ..

2-2-1번 문제더보기용의자가 사용한 USB로 의심되는 USB 시리얼 넘버와 최종 연결 시간이거 분명히 지난번에 2018인가 모의 문제에서 분석했었다.https://wintersnowaaa.tistory.com/17 디지털포렌식 2급 실기 (2018 모의 문제 풀이 - 2번 문제) [FTK Imager]다시 돌아와서 2번 문제를 풀어봐야한다.2-1번 문제더보기2-1번의 문제는 SHA1 값이 98debd6a350baccb3e25fc7c2cd5de5ea09a7488 인 파일을 찾고 파일명, 크기, 시간 정보를 구해야한다.비트낭님께서는 Encase의wintersnowaaa.tistory.com여기 있네2-1번 문제이다.문제 풀이는 대략적으로 Lnk 파일을 lnkparser로 분석하는 것인데,어떤 파일의 Lnk..

일단 시나리오부터 봐보자.제품 설계도면이 유출되었다.사내에서 공용으로 쓰는 인터넷망과 연결된 PC로 유출됨.그 중 2023년 상반기 제품 도면 파일이 유출일단 찾아낸 내용은1. 이메일을 통해 특정 파일 다운로드2. 사내에서 사용하는 업무용 프로그램을 설치하는 공용 USB가 아닌 다른 USB 인식3. 특정 프로그램(스크립트)를 이용하여 도면 파일 외부로 전송시도한 흔적4. 유출한 도면을 프린트하였으나 고장나서 출력안됨.5. 용의자가 개인적으로 작성하던 유출 목록 파일이 있다.이메일, USB, 스크립트, 프린트, 유출목록파일을 찾으면된다.2번 문제 (파일시스템 복구)더보기다른 파티션은 괜찮은데2,5번째 파티션의 파일시스템이 인식이 되질 않는다.해당 파티션을 확인해보자.첫번째 섹터가 전부 0x0 으로 채워져있..

머리가 아프다.어째 문제를 반복할 수록 더 어려워지는 기분이다.새로운 유형의 단서들이 늘어가는 것 같다...5번 문제더보기이전까지 3번 문제에서 구하지 못한게 너무 많아서너무나도 어렵다.그래서 풀이를 조금 보았는데풀이를 보더라도 내가 만약에 풀이를 보지않았더라면평생 찾아도 못 찾을 정도로 탐색 능력이 없었다.비트낭님께서는 encase의 bad signature 표시해주는 기능을 통해서 훼손된 시그니처를 갖는 파일을 찾아내어서 단서를 분석했는데,일단 나는 encase를 사용할 수 없고, autopsy에서는 Extention Mismatch Detected 카테고리에서도 훼손된 시그니처 값이 있는 파일을 찾아내줄 수 없다.심지어 증거의 시작점이 되는 파일은 jpg 파일이였는데 해당 파일이 있는 폴더에는 jp..

풀이과정이 너무 한쪽이 길게 늘어지면 가독성이 떨어지므로 나누어서 작성해야겠다.2번 문제 (디스크 서명)더보기 이전에 구한 것들과 비슷하게 나온다.근데 USB의 디스크 서명은 처음 듣는다...모르는건 깔끔하게 인정하고 풀이를 봐야겠다...디스크 서명은 MBR에 위치한다고 한다.그 중에서 파티션 4개를 나누는 64바이트 값 이전에 2바이트를 띄우고 4개의 바이트이다.0x3C 64 6E 75 (빅엔디안) 인데뭔가 보면서 이상하다.분명 MBR 부분에 부트 레코드가 있어야하는데부트 레코드가 없다. 그냥 0x0으로 채워져 있다.이건 또 어떻게 복구하나 싶었는데 비트낭님께서 mbr은 없더라도 잘 인식하는 경우도 많고, 크게 신경 안써도 된다고 하셨다. ㄱㅊ을듯.그리고 두번째 파티션인 FAT32 파일시스템도 복구를 ..

아 졸리다. 이번 문제는 새로이 알게된 것들이 많다.문제 이미지 파일 왤케 크지 무섭게.압축형태인 e01이 아니라 원본(dd)형태인 001이라서 그런가.1번 문제더보기평소처럼 하면될듯하다.레지스트리 편집기에 들어가서 StorageDevicePolicies 키를 만들고 DWORD 값으로 WriteProtect 값 1로 설정.다운로드 받은 용량이 비교적 큰 001 이미지 파일을 FTK Imager로 열어서 복사본을 만든다.과정이 어려운 분들은 2018 문제를 보고 오시면 될듯합니다.이 2개의 해시값이 일치하면된다.일치한다.FTK Imager로 add envidence 해도 같게 나온다.

3번 문제더보기안티포렌식 기법이 적용된 파일들을 분석해야한다.일단 안티포렌식 기법이 적용된 파일들을 찾아야하는데,가장 먼저 생각이 드는 것은 확장와 시그니처가 일치하지 않는 파일이다.이 파일들을 모두 확인해보면,Zond:Identifier로 ADS에 사용되는 파일들은 제외하고 찾아보면,이전에 봤던 그 파일들이다.여기서 조금 신경쓰이는 부분이시나리오에서 요구하는 주요 증거들을 찾으라는 것이다.결국엔 킹유출이 디자인을 유출한 증거를 찾아야한다.일단 d2793e98fd7b0e49b9d62797061199ed 의 내용을 autospy로 확인해보면몇가지 키워드가 나온다.일단 스테가노그래피 기법이 들어간 것 같고,몇가지 파일 이름들이 나온다Decode.exe.lnkDecode.exeBest.docxBest.docx..