disk (4) 썸네일형 리스트형 CTF-d_Disk #7 윈도우 작업 관리자에서 우클릭... 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 덤프 파일 RunMe.DMP.xz를 칼리 리눅스에서 압축해제를 해보았다. 힌트에선 준 SharifCTF를 strings명령어로 검색해보니 플래그를 찾을 수 있었다. strings RunMe.DMP | grep SharifCTF 플래그 : SharifCTF{4d7328869acb371ede596d73ce0a9af8} CTF-d_Disk #6 A회사 보안팀은 내부직원… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 evidence.001파일을 FTKImager열어보았다. NTFS 파일시스템 안에 이상한 문자열로 적힌 10개의 폴더가 있다. 하나씩 열어 확인해 보니 5BB3AF5D~폴더->Libary->Caches->Snapshots->com.getdropbox.Dropbox에 tim-folder가 적힌 pdf 캡쳐사진이 있다. 왼쪽 메뉴에서 Caches를 우클릭하여 Export file(파일 추출)하였다. SQLite에서 Caches폴더안에 cache.db파일 실행해보았다. 데이터 보기에서 테이블을 data_cache로 클릭하고 아까 pdf의 캡쳐사진에서 tim_folder의 데이터를 클릭.. CTF-d_Disk #4~5 판교 테크노밸리 K기업에서… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 사용자가 웹 브라우저를 이용하여 남긴 아티팩트(운영체제나 애플리케이션을 사용하면서 생성되는 흔적)를 분석하는 문제이다. 웹 브라우저의 history정보가 담긴 파일을 찾아서 분석하면 된다. 압축을 풀면 7ester파일 안에 사진과 같은 폴더가 들어있다. Appdata\local\Microsoft안에 보면 Chrome이나 Safari 폴더가 없으므로 Internet Exploror를 사용하는 것 같다. Internet Explorer 경로를 표로 정리해 보았다. Internet Explorer 전체 경로 History %UserProfile%\AppData\Local\Microsoft\W.. CTF-d_Disk #1~3 이벤트 예약 웹사이트를 운영하고… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 이번 문제는 Disk관련 문제이다. A~C번까지 문제가 연결되어 있다. 주어진 문제 파일 2012_Secuwave F100.7z을 다운 받아 열어보았다. 6개의 폴더 안에는 각각 이러한 파일이 들어있다. > accounts - history:사용자가 입력했었던 명령어 저장 - group:사용자 그룹목록 - last_R:로그인 상태 - lastlog:마지막 접근했던 사용자 정보 - passwd:마지막에 추가된 정보 - shodow - w: 현재 사용자 > file - fls_r_m, mactime_b > network - arp - lsof:프로세스에 대한 네트워크 정보 출력 - nets.. 이전 1 다음
