have a Young's

주어진 파일을 압축해제를 하면 eml 파일들이 있다. MiTeC Mail Viewer로 주어진 폴더를 열어보았다. 메일을 각각 확인해 보면, 첨부파일로 zip 파일이 존재했다. 메일에 첨부되어 있는 파일을 모두 추출했다. unzip 명령어를 통해 zip 파일들을 모두 압축해제 했다. 추출된 파일들을 확인해 보니 .docx와 .exe 파일이 있었다. 한눈에 봐도 .docx 형식의 파일이 많았다. 그래서 .exe 파일만 따로 검색해 보았더니 총 6개가 존재했다. 아마도 이 중에서 악성코드가 있을 것 같다. 6개의 파일 중에 becauseq1af2332.exe 파일만 권한이 필요하다. 이 파일이 악성파일인 것 같다. 해당 파일의 SHA256를 구했다. FLAG fiesta{bcb10a8e6250ecb14293..

웹 아티팩트 (Web Artifact) : 사용자로 인해 웹 어플리케이션과 웹 브라우저가 통신하면서 생성되는 기록(흔적). 1) 웹 히스토리 (Web History) - 웹 사이트 방문 시 웹 사이트 정보를 분류해 저장. - URL, 접속 시간, 접속 횟수, 페이지 제목 등의 정보 제공. 2) 웹 캐시 (Cache) - 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터. - 기존에 방문했던 웹 사이트를 재방문 할 때 변경되지 않은 정보는 다시 다운받지 않고 웹 캐시에서 로딩하는 방식. - 캐시파일 정보(저장 시간, 파일명, 타입, 크기, 경로), 이미지, 텍스트, HTML, XML, 스크립트 파일 등의 웹 페이지를 표현하기 위한 다양한 데이터들을 포함. 3) 웹 쿠키 (Cookie) - HTT..

휘발성 메모리에는 장치를 다시 시작하거나, 종료할 때 손실되는 아래와 같은 Artifacts(운영체제나 애플리케이션을 사용하면서 생성되는 흔적으로 포렌식에서 사용되는 단어)가 포함되어 있다. - 시스템 프로세스 - 서비스 실행 - 클립보드 정보 - 탐색 세션(시크릿 세션) - 비밀번호 - 액세스된 파일 및 멀티미디어 - 채팅/실행 중인 애플리케이션 저장 데이터 - Malware 동작 - etc.. [ 프로세스 제한 ] - 휘발성 메모리 획득에는 많은 제한이 존재하는데, 전적으로 시나리오와 시스템 상태에 따라서 다름. - 접근이 제한된 장치는 휘발성 메모리 분석에 사용할 수 없음. - 잠금 해제로 인해서 시스템 데이터가 변경되면 시스템이 불안정 할 수 있음. - 모바일 장치(루팅되거나 탈옥된) 플랫폼의 경..

Windows Registry : 하나 이상의 사용자, 애플리케이션 or 하드웨어 장치에 대해 시스템을 구성하는 데 필요한 정보를 저장하기 위한 중앙 계층형 데이터 베이스. : 마이크로소프트 윈도우 32/64비트 버전과 윈도우 모바일 운영 체제의 설정과 선택 항목을 담고 있는 데이터베이스로 모든 하드웨어, 운영 체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 사용자 PC 선호도 등에 대한 정보, 설정이 들어있다. - 레지스트리 파일은 "C:drive/windows/system32/config" 파일 경로에 있다. - 각 레지스트리에는 법의학적으로 귀중한 정보가 많이 포함. - 레지스트리 파일은 컴퓨터의 모든 구성 정보를 저장하므로 매초 자동으로 업데이트. - 레지스트리 파일은 키, 값 두 가지 기본 ..

파일 카빙 ( File Carving ) : 메타 데이터가 아닌 파일 자체의 바이너리 데이터(content, signature, header 등)를 이용해 디스크의 비할당 영역에서 파일을 복구하는 방식 * 연속적 카빙 / 비연속적 카빙 : 파일이 저장될 때 분할이 되어서 저장되는지 아닌지에 차이가 있음 1. 시그니쳐(signature) 기반 카빙 - 가장 기본적인 방식 - 파일의 header(파일의 처음), footer(파일의 마지막)를 기반으로 카빙하는 기법 2. 램 슬랙(Ram Slcack) 카빙 램 슬랙(Ram Slack) : 파일 내용을 디스크에 기록할 때, 파일의 크기가 512의 배수가 되지 않아서 0x00으로 채워지는 영역 - 램 슬랙 공간을 뒤지면 파일의 footer 등의 위치를 알아낼 수 ..

PNG 파일이 주어진다. 해당 파일을 열어보면 secret message 1 문제처럼 FLAG가 가려져있다. 마찬가지로 가려진 FLAG를 찾아야 하는 것 같다. https://github.com/BishopFox/unredacter GitHub - BishopFox/unredacter: Never ever ever use pixelation as a redaction technique Never ever ever use pixelation as a redaction technique - GitHub - BishopFox/unredacter: Never ever ever use pixelation as a redaction technique github.com 픽셀화된 이미지를 해독하는 unredacter..

위와 같은 pdf 파일이 주어진다. 가려진 FLAG를 구해보자! pdftotext 툴로 pdf 파일에서 text를 추출하면 txt 파일이 생성된다. 추출한 txt 파일을 확인하면, FLAG를 확인할 수 있다! FLAG uoftctf{fired_for_leaking_secrets_in_a_pdf}

주어진 파일은 워드 파일이다. 해당 파일을 열어보면, 열 수 없는 파일이라고 나온다. olveba 툴을 이용해서 워드 파일 안에 있는 매크로 스크립트(VB script)를 추출하면, Sub AutoOpen() Dim v6 As Variant, v7 As Variant v6 = Array(98, 120, 113, 99, 116, 99, 113, 108, 115, 39, 116, 111, 72, 113, 38, 123, 36, 34, 72, 116, 35, 121, 72, 101, 98, 121, 72, 116, 39, 115, 114, 72, 99, 39, 39, 39, 106) v7 = Array(44, 32, 51, 84, 43, 53, 48, 62, 68, 114, 38, 61, 17, 70, 121..

pcapng 파일과 master_key.s.log 파일이 주어진다. HTTPS 트래픽을 해독해 FLAG를 찾으면 된다! pcapng 파일을 열어 edit -> Preferences -> Protocols -> TLS로 이동해 (Pre)-Master-Secret log filename에 master_keys.log를 넣어준다. Protocol을 정렬해서 HTTP 부분을 확인했다. 문제에는 도메인이 mrgray.xyz라고 알려주었다. mrgray.xyz의 ip인 5.101.142.78의 통신을 확인해야 한다! Follow -> TLS Stream으로 내용을 살펴보자. TLS Stream에서 성공적으로 FLAG를 찾을 수 있었다! FLAG uctf{St._Sarkis_Church}

이 문제는 Steganography 문제이다. 비밀번호가 주어지는 걸 보니 steghide 툴로 FLAG를 구할 수 있을 것이다! 주어진 비밀번호 "urumdorn4" 를 입력해 steghide 툴로 데이터를 txt 파일로 추출했다! 추출한 데이터를 확인해 보았다. FLAG는 base64로 인코딩 되어 있다. 다시 디코드 하면 dorna_lar_yovasi 가 나오게 된다! FLAG uctf{dorna_lar_yovasi}