필자는 육군 병장 만기전역한 사람으로 매우 가슴이 뜨거워 지는 문제다. 파일을 다운받아보면 일기가 있다. 데이터 은닉 기법을 복습한 후에 차근차근 문제 파일을 분석한다는 문제의 힌트에서 분명히 무엇인가를 숨겨뒀을것이다. 구글에 txt 파일 데이터 은닉이라 치니깐 바로 ADS라는 개념이 나온다. 실제로 파일 경로에 들어가서 dir /r 을 하면 숨겨진 ADS 데이터가 있는것을 볼 수 있다. 그럼 이 파일들을 추출하기 위해서 GMER 라는 툴을 사용하도록 하겠다. 숨겨진 여러 파일들을 찾아주는 프로그램이라 생각하면 된다. 주어진 경로로 이동하여 파일을 가져온다. copy를 사용하여 파일들을 다 추출해보면 zip파일이 있다. 압축을 해제하려면 .z01 , .z02 ... 파일이 있어야 한다. 처음에는 확장자만..

이번에 풀 문제는 NTFS Log 문제이다. Everythin-~~ 의 생성 시각을 찾으라고 한다. 압축을 해제하면 MFT 파일이 보인다. MFT 파일은 NTFS 내에 모든 파일, meta data, 삭제파일에 대한 정보를 담고있다. 따라서 이 파일을 분석해보아야 한다. 참고로 압축을 풀면 이 폴도는 비어 있습니다. 라고 나올텐데 cmd 창에서 dir a/ 를 치면 확인할 수 있다. 이제 이 파일을 우리가 읽을 수 있는 형태로 변환시켜야 할것이다. kkoha.tistory.com/entry/analyzeMFT-204 analyzeMFT 2.0.4 NTFS MFT 엔트리 소개 : http://forensic-proof.com/archives/470 NTFS MFT 구조 소개 : http://forensic..

파일을 압축 해제하니깐 5개의 이벤트 로그가 나온다. 설치된 비인가 프로그램을 찾는거니 application 에 있을것이라고 생각했다. 파일이 설치되는 이벤트 id를 찾아서 보니 금방 찾을 수 있었다. 이벤트 ID 1033 -->>응용 프로그램 설치 완료 11707-->>프로그램 설치 그 중 가장 수상했던것은 드롭박스를 설치한 부분이었다.

이번에 풀 문제는 로그인 관련 문제이다. 그렇다면 이벤트로그로 원격 로그인 이벤트를 구별하는 방법을 구글링해서 풀면 될것이다. 그중 위 사진에서 힌트를 얻을 수 있었다. logon type 이 10이면 원격 로그인이라는 소리다. anotheritguy.com/index.php/2018/06/filtering-event-id-4624-by-logon-type/ Filtering Event ID 4624 by Logon Type – Just Another IT Guy Just Another IT Guy The Mad Ramblings of an Abnormal SysAdmin anotheritguy.com 만약 type 별 번호를 알고싶다면 위 사이트에 들어가서 확인해보도록 하자. 여튼 로그온 타입이 10인..

이벤트 로그를 분석하는 문제이다. 천천히 풀어보자! 같은 시간대에 4개의 기록이 있다. 그 중 4720에서 사용자 계정을 만들었다는 정보가 담겨져있다. 하지만 빨간색 네모 안의 502를 자세히 봐야한다. S-1-5-21-790723840-693588307-315668192-502 S-1(윈도우 시스템) 5-21(시스템이 도메인 컨트롤러 이거나 단독 시스템) 790723840-693588307-315668192(시스템 고유 번호) 502(사용자 ID) 이중 사용자 ID부분에서 500 = 관리자(Administrator) , 501 = 게스트, 1000이상 = 일반 사용자 따라서 502 는 일반 사용자 계정이 아니다. 바로 밑에 4720에서 새로운 계정이 생성된 로그를 확인할 수 있다. 이 계정에서는 110..

단 하나의 수상한 파일은 아래의 사진이다. 사진을 보면 검은색 박스가 신경쓰일거다. 근데 검은색 박스에는 암것도 없고 그 옆에 5826 이라는 숫자가 보인다. 당연히 이것이 flag는 아닐것이다. 그렇다면 png 파일을 HxD로 열어보도록 하자. png의 헤더는 문제없었지만 푸터 뒤에 PK(zip)파일이 있었다. 그 부분만 따로 추출해서 zip파일로 만들어 주겠다. zip 파일로 만드니 암호가 필요하다고 한다. 아까 그림에서 나온 5826을 입력하면 될것같다. 다음과 같은 파일이 나온다. 이제 이 파일의 SHA1값을 알아보자 위 사진에 나온 내용이 정답이다!