N0cT1s41

해당 문제는 Dreamhack의 Basic_Forensics_1 문제에 대한 풀이입니다.해당 문제에 대한 설명 이미지 파일안에 Hidden 메세지가 숨어있다. 이 말을 보고 바로 스테가노그래피 문제라고 생각했다.문제 파일을 다운받으니 png 파일이였다.문제 설명에서 이미지 파일에 Hidden 메시지가 숨어 있다는 힌트를 얻었다. 이 말은 스테가노그래피(steganography)와 관련된 문제임을 의미한다.문제 파일을 다운로드한 결과, 파일 형식은 PNG였다.파일 확인확실히 PNG 파일인지 확인하고, 단순히 hidden 값을 파일 안에 넣었는지 검증하기 위해 HxD를 사용해 파일을 열었다.위 사진을 통해 PNG 파일의 헤더 시그니처와 푸터값에 변조가 없음을 확인했다.또한, 문제에서 flag 값이 'DH'로..

해당 문제는 Dreamhack의 FFFFAAAATTT 문제에 대한 풀이입니다.설치된 문제 파일: 문제를 설치하니 FFFFFFAAAATTT.001 파일이 생성되었습니다. .001 확장자는 RAW 데이터로, 손실 압축 없이 원본 데이터를 저장하는 파일 포맷입니다.FTK Imager로 확인: FTK Imager를 통해 열어본 결과, 파일이 정상적으로 인식되지 않는 것을 알 수 있었습니다. HxD로 확인: HxD로 해당 파일을 열어보니 MBR(Master Boot Record) 영역이 Fix the Disk!!!!로 덮여 있음을 확인했습니다.MBR이란?MBR(Master Boot Record)은 하드 디스크나 USB와 같은 저장 매체의 가장 첫 번째 섹터(512바이트)에 저장된 데이터 구조로, 부팅 프로세스를 ..

1번 문제1번 문제 페이지에는 다음과 같은 메시지가 적혀 있었습니다:********** Your challenge is to find it :) **********Look at the file password.gif and you will find the password for the next challenge page easy!!!...You hope ;-)또한, "check out the solution."이라는 하이퍼링크가 있었고, 해당 링크를 클릭하면 solved.html 페이지로 이동하였습니다. 이 페이지에는 다음과 같은 내용이 있었습니다:Challenge HowTo:Check the source=> password.gif:Open it with notepad and you will find t..

해당 문제는 CyberDefenders의 Sysinternals Lab 문제에 대한 풀이입니다.1. Challenge descriptionA user thought they were downloading the SysInternals tool suite and attempted to open it, but the tools did not launch and became inaccessible. Since then, the user has observed that their system has gradually slowed down and become less responsive. As a SOC Analyst, analyze the artifacts and answer the questions. Q1. ..

보호되어 있는 글입니다.

침해대응2 회사 내부망의 컴퓨터를 원격으로 이용하던 직원이 어느 날 컴퓨터의 속도가 미세하게 느려 졌음을 감지했다. 그는 컴퓨터를 면밀히 조사했으나 아무 이상을 발견하지 못했고, 결국 컴 퓨터를 이미징하여 당신에게 분석을 의뢰했다. 분석가인 당신은 이 컴퓨터가 느려진 원인을 파악해야 한다. 문제 : (1) 키로그와 스크린샷의 저장경로 (ex, [root]/xxx/yyy) (2) 악성코드가 정보수집용 프로세스를 최초 호출한 시각 UTC+9 (Ex, YYYY-MM-DD-HH:MM:SS) (3) 악성코드가 정보를 전송하는 주소flag 형식 = FIESTA{(1)_(2)_(3)} 해당 문제 압축파일을 열어보니 slowww.E01, mem.vrms 파일이 있었다. mem.vrms를 준 것 보니 volatility..