N0cT1s41

해당 문제는 Dreamhack의 video_in_video 문제에 대한 풀이입니다.  우선, 제공된 이미지를 010 Editor를 이용하여 열어보았다. 010 Editor는 파일의 바이너리 구조를 확인하는 데 유용한 도구로, 데이터를 직관적으로 분석할 수 있도록 도와준다.분석을 진행하던 중, UnknownPadding 영역이 존재하는 것을 확인할 수 있었다. 이를 자세히 살펴보니 JPG 푸터 이후에 추가적인 데이터가 포함되어 있었다. 해당 데이터를 확인해보니 ftyp 시그니처가 나타났으며, 이를 통해 MP4 파일이 숨겨져 있을 가능성이 높다고 판단하였다.  JPG 푸터 이후에 존재하는 MP4 데이터를 따로 저장한 후, 해당 파일을 실행해보았다. 결과적으로 MP4 파일이 정상적으로 추출되었음을 확인할 수 ..

해당 문제는 Dreamhack의 palm 문제에 대한 풀이입니다. 이번 문제에서는 개발자 PC가 악성 코드에 감염되어 있으며,로그인 시마다 네트워크를 통해 민감한 로그인 정보가 유출되는 상황을 분석해야 한다.악성 코드가 개발자 PC에 침투하여 로그인 시마다 네트워크로 정보 유출침투 방식: 중앙 서버 → 개발자 PC목표: 악성 코드 분석 및 침투에 사용된 파일 탐색Flag 찾기먼저 현재 실행 중인 프로세스를 확인하여,의심스러운 프로세스가 존재하는지 점검했다.특별히 이상한 프로세스는 발견되지 않음.따라서, 네트워크 연결을 분석하는 방식으로 접근하기로 결정했다. 리눅스 환경에서 netstat과 ss 같은 명령어들이 설치되어 있지 않아대신 /proc/net/tcp와 /proc/net/udp 파일을 직접 분석했다..

해당 문제는 Dreamhack의 Enc-JPG 문제에 대한 풀이입니다.문제에서 주어진 ZIP 파일을 열어보니 Enc와 flag.jpg 파일이 존재했다. 해당 파일들을 각각 010 editor를 통해 열어보았다.처음 받은 enc 파일을 확인해보니, 파일의 시그니처가 4D 5A 90로 시작하는 것을 확인했습니다. 이는 .exe의 파일 시그니처로, 해당 파일이 실행 파일임을 나타냅니다. 따라서 .enc 확장자를 .exe로 변경한 후 실행해 보았습니다.실행을 시켜보니 flag.jpg라는 파일이 생성되었으며, 일부 데이터가 복구된 것을 확인할 수 있었습니다. 그러나 파일이 정상적으로 열리지 않았습니다. 이를 해결하기 위해 바이너리 에디터인 010 Editor를 사용하여 내부 구조를 분석하기로 했습니다.JPEG 파..

해당 문제는 Dreamhack의 Basic_Forensics_1 문제에 대한 풀이입니다.해당 문제에 대한 설명 이미지 파일안에 Hidden 메세지가 숨어있다. 이 말을 보고 바로 스테가노그래피 문제라고 생각했다.문제 파일을 다운받으니 png 파일이였다.문제 설명에서 이미지 파일에 Hidden 메시지가 숨어 있다는 힌트를 얻었다. 이 말은 스테가노그래피(steganography)와 관련된 문제임을 의미한다.문제 파일을 다운로드한 결과, 파일 형식은 PNG였다.파일 확인확실히 PNG 파일인지 확인하고, 단순히 hidden 값을 파일 안에 넣었는지 검증하기 위해 HxD를 사용해 파일을 열었다.위 사진을 통해 PNG 파일의 헤더 시그니처와 푸터값에 변조가 없음을 확인했다.또한, 문제에서 flag 값이 'DH'로..

해당 문제는 Dreamhack의 FFFFAAAATTT 문제에 대한 풀이입니다.설치된 문제 파일: 문제를 설치하니 FFFFFFAAAATTT.001 파일이 생성되었습니다. .001 확장자는 RAW 데이터로, 손실 압축 없이 원본 데이터를 저장하는 파일 포맷입니다.FTK Imager로 확인: FTK Imager를 통해 열어본 결과, 파일이 정상적으로 인식되지 않는 것을 알 수 있었습니다. HxD로 확인: HxD로 해당 파일을 열어보니 MBR(Master Boot Record) 영역이 Fix the Disk!!!!로 덮여 있음을 확인했습니다.MBR이란?MBR(Master Boot Record)은 하드 디스크나 USB와 같은 저장 매체의 가장 첫 번째 섹터(512바이트)에 저장된 데이터 구조로, 부팅 프로세스를 ..