N0cT1s41

디지털 포렌식 파일 포맷: DD, E01, Ex01, AD1 확장자디지털 포렌식 작업을 하다 보면 다양한 디스크 이미지 파일 포맷을 접하게 됩니다. 이 중에서도 DD, E01, Ex01, AD1 확장자는 각각의 특징과 용도가 달라서 상황에 맞게 선택적으로 사용해야 합니다. 이번 글에서는 이들 파일 포맷에 대해 쉽게 설명해 보겠습니다. DD 파일DD 파일이란?DD 파일은 디스크 이미지를 생성하거나 데이터를 복사할 때 사용되는 원시 디스크 이미지 포맷입니다. 이 포맷은 리눅스의 dd라는 도구에서 이름을 따왔으며, 디스크 복구, 백업, 복제 등 다양한 작업에 활용됩니다.DD 파일의 용도 디스크 이미지 생성 하드 드라이브, USB 메모리, 메모리 카드 등 저장 장치의 데이터를 복사하여 이미지 파일..

해당 문제는 CyberDefenders의 Sysinternals Lab 문제에 대한 풀이입니다.1. Challenge descriptionA user thought they were downloading the SysInternals tool suite and attempted to open it, but the tools did not launch and became inaccessible. Since then, the user has observed that their system has gradually slowed down and become less responsive. As a SOC Analyst, analyze the artifacts and answer the questions. Q1. ..

해당 문제는 root me의 Command & Control - level 5 문제에 대한 풀이입니다.사실 이 문제는 좀 쉬웠다.volatility3으로 PC 계정을 찾고 hashdump로 패스워드를 찾으면 될거 같은 문제였다.cmdline의 결과를 추출해서 보던 중 John Doe를 보고 사용자 계정이라는 것을 추측했다.후에 hashdump를 이용해 사용자와 암호화된 패스워드를 확인했고 복호화까지 해줬다.사실 이 문제는 시작부터 hashdump를 통해 풀 수 있었지만 처음부터 그 생각을 못했었다.

해당 문제는 root me의 Windows - NTDS Secret extraction 문제에 대한 풀이입니다.보통의 Windows의 Active Directory(AD)에서 NTDS.dit 파일과 레지스트리 백업을 가지고 NTDS 비밀을 추출하는 과정은 복잡하지만 impact의 setcretsdump.py를 통해 krbtgt 계정의 AES256-CTS-HMAC-SHA1-96 키를 쉽게 추출할 수 있다. 우선 window에서 setcretsdump.py를 실행하기 위해 impact를 설치해야 했다..해당 github에서 Download ZIP으로 설치 후 압축을 풀어준다. 후에 cmd로 이동 후 압축을 푼 파일로 이동을 해서 아래와 같이 build를 진행해준다.후에 setcretsdump.py가 있는 폴..

해당 문제는 root me의 LDAP User KerbeRoastable 문제에 대한 풀이입니다. LDAP란 무엇인가?LDAP(경량 디렉터리 액세스 프로토콜, Lightweight Directory Access Protocol)는 네트워크 상에서 디렉터리 서비스를 질의하고 수정할 수 있게 하는 표준 프로토콜입니다. 주로 조직 내의 사용자, 그룹, 장치, 권한 등의 정보를 저장하고 관리하는 데 사용됩니다. LDAP는 계층 구조로 된 디렉터리 정보를 처리하며, 각 엔트리(예: 사용자, 그룹 등)는 고유한 DN(Distinguished Name)을 가진다.DN(Distinguished Name): LDAP의 각 엔트리를 고유하게 식별하는 이름이다.DC(Domain Component): 도메인 구성 요소입니다...

해당 문제는 root me의 Docker layers 문제에 대한 풀이입니다.challenge를 다운받고 압축을 풀어보니 docker image와 관련된 파일들이 있었다.일단 레이어를 추출하기 위해 mkdir layers로 폴더를 만들고 해당 폴더로 이동 후에 아래와 같은 코드를 입력해줬다.mkdir layersfor file in *.tar; do layer_dir="layers/$(basename $file .tar)" mkdir -p "$layer_dir" tar -xf "$file" -C "$layer_dir"done코드를 입력하니 아래처럼 layers 폴더에 레이어들이 잘 추출된 것을 볼 수 있다.그럼 일단 폴더를 하나씩 들어가서 어떤것이 있는지 확인을 하던중 의심스러운 파일들이..