N0cT1s41

해당 문제는 root me의 Deleted file문제에 대한 풀이입니다.해당 challenge 파일을 다운로드 해보면 아래와 같은 .gz의 압축파일을 다운 받을 수 있다.해당 압축파일을 바로 hxd로 확인해 보았지만 의미있는것은 찾지 못했다.압축파일을 풀었는데 예상한것과는 다른 것이 풀어졌다.위 알집을 통해 풀려고 했을 때는 ch39라는 파일이 나올 것 같았지만 윈도우로 압축을 푸니 usb.image 파일이 생성되었다.뭐 일단 image 파일이 나왔으니 FTK Imager로 분석을 해보아야한다.root 폴더가 있는것이 확인됐다. 확인해보니 아래와 같이 anonyme.png라는 사진이 있었다.해당 사진을 상단 view files in plain text 아이콘을 눌러 텍스트로 바꿔주면 flag를 찾을 수..

해당 문제는 CyberDefenders의  Insider 문제에 대한 풀이입니다.1. Challenge descriptionAfter Karen started working for 'TAAUSAI,' she began to do some illegal activities inside the company.'TAAUSAI' hired you as a soc analyst to kick off an investigation on this case. You acquired a disk image and found that Karen uses Linux OS on her machine. Analyze the disk image of Karen's computer and answer the provided que..

해당 포스트는 Start up 디스크 포렌식의 악성코드 감염 MBR을 복구하는 내용의 실습입니다.3.20 악성코드는 MBR영역과 VBR , BR을 모두 특정 문자열로 덮어씌워 부팅이 불가능하도록 한 악성코드이다. 일단 해당 이미지 파일을 HxD로 열어보면 예약 영역이 나오게 된다. MBR구조가 오는 것이 아니라 예약 영역을 제외하고 보기 위해 FTK Imager를 열어 확인해보자.확인해보니 MBR 영역이 모두 HASTSTI. 이라는 문자열로 뒤덮인 것을 볼 수 있었다.이 문자열을 추가적으로 더 검색해보니 MBR영역 말고도 2곳에서 더 뒤덮인건 확인 할 수 있었다. 일단 먼저 MBR을 복구하기 위해서는 정상적인 OS가 필요하다.이것은 실습이기 때문에 정상적인 OS파일을 구해놨다.복구하려는 하드디스크는 OS..