본문 바로가기

태그를 입력해 주세요.

[Defcon] 21 NFPC(Network Forensics Puzzle Contest) Write up 몇 해 전부터 SANS Network Forensic Puzzle Contest 문제가 Defcon의 Contest 문제로 계속 출제되고 있었다. 이번에도 작년과 마찬가지로 LMG Security에서 문제를 출제하였었는데, 작년과 마찬가지로 이번에도 온/오프라인으로 250여팀(팀 당 최대 6명)이 참가하여 10팀 정도가 올클리어를 했다고 한다. 대회 문제는 하나의 CD로 제공이 되며 CD 안에는 truecrypt 컨테이너 파일이 존재한다. 해당 컨테이너의 파일을 최초로 복호화 하기 위해서는 운영진 데스크에 문의 해야 한다. 컨테이너 파일을 복호화 하면 다음과 같은 파일들이 존재한다. [Round 0]Decryption Key : SYN-SYNACK-ACK=STart!@#$&@ [그림 1 - 컨테이너 내용.. 더보기
[plugin update 2013-08-01 20:18] 계정 정보 추출 플러그인 (with Volatility) [업데이트 내용] - daum 계정 추출 기능 추가 - -s 옵션 추가 -s 옵션은 추출하고자 하는 계정 사이트명을 지정하는 옵션이다. 만약 해당 옵션을 지정하지 않으면 다음과 같이 플러그인에서 지정하는 모든 사이트의 계정들이 추출되어 출력된다. -s 옵션으로 페이스북을 지정하면 다음과 같이 페이스북 계정만 추출되어 출력된다. 단일지정뿐만 아니라 복수지정도 가능하다. p.s - 네이버도 추가하려 했으나 네이버 로그인 과정에서 암호화 하는 부분 때문에 브라우저별로 메모리에 흔적을 남기는 형태가 각양각색이어서 추가하지 않았다. 더보기
[디지털 포렌식 전문가 2급] 실기 시험 문제 국세청은 모 기업에서 직영점들에게 POS 데이터를 조작하라는 지시를 내려 비자금을 조성한다는 첩보를 입수, 모 기업의 직영점 A와 B를 압수 수색한다.직영점 A에서는 별다른 조작 흔적을 발견하지 못하였지만, 직영점 B에서 압수수색을 진행하는 과정에서 소파밑에서 USB 하나를 발견한다. 하지만 분석 컴퓨터는 해당 USB를 인식하지 못하였다.당신은 국세청 소속의 포렌식 전문가로 해당 USB를 복구하여 모 기업에서 직영점들에게 지시한 내용 증거와 POS 데이터를 조작한 증거를 찾아라. * 보고서의 수신처는 시험관리본부장으로 하라. 1. 디지털 포렌식 전문가가 현장에 도착하면 해야 할 일은? 2. 간혹 법정에서 상대 측 변호인이 증거의 무결성 훼손을 주장 할 때가 있다. 다음 두 경우에 관련하여 증거의 무결성을.. 더보기
N Drive Forensic Artifact 글쓴이는 주변 분들을 대상으로 하나의 설문조사(?)를 했었다. 자주 사용하는 클라우드 서비스가 무엇이냐는 질문에 대한 답변을 조사하는 것이었는데 설문의 결과를 종합해 보니 어느정도 예상하는 순위들이 정해졌다. 1. N 드라이브2. 다음 클라우드3. U 클라우드4. 아마존 클라우드5. 구글 드라이브 글쓴이는 시간이 허락하는대로 위 5가지의 흔적들을 조사 해 포스팅하고자 한다. 이번 글은 당연히 N 드라이브에 대한 흔적들을 소개하고자 한다. 글쓴이는 이전에 클라우드 포렌식이란 주제로 글을 써 포스팅한 적이 있다. 그 글에서 클라우드의 현재 문제점 때문에 클라이언트 측의 장비를 중심으로 여러 증거들을 수집해야 한다고 했었는데 이 글에서 클라이언트에서 어떠한 흔적과 증거들을 발견 할 수 있는지 소개하겠다. 일단.. 더보기
RootBSD Forensic Challenge 풀이 Google에서 포렌식 Challenge 목록을 크롤링 중 소규모 Forensic Challenge를 발견하였다. RootBSD 라는 곳에서 주최한 대회로 2010년에 열린 것 같다. 문제의 난이도는 쉬운 편이며, 참가 인원은 30팀 정도 된다고 한다. 대회 방식은 질/답 형식이 아닌 flag 값을 제일 먼저 정확하게 찾아 주최측에 메일로 인증을 받는 형식이다. 찾아야 할 해쉬 값은 총 10개이며 10개 모두 찾아 이메일로 한번에 보내야 한다. 문제 난이도는 어렵지 않으니 훑어 보기만 해도 될 것이다. 일단 문제 파일을 받아보면 tar.gz로 압축되어 있는데 압축을 해제 해 보면 [그림 1]과 같은 디렉토리들이 보이는 걸 확인 할 수 있을 것이다. [그림 1 - 문제 목록] 각 디렉토리에 있는 파일들을 .. 더보기