SKS!_2024 하계 방학 STUDY (19) 썸네일형 리스트형 [SKS!/Forensics] 2주차 | Friday 문제 1 evidence05 Puzzle #5: Ms. Moneymany’s Mysterious Malware 1. As part of the infection process, Ms. Moneymany’s browser downloaded two Java applets. What were the names of the two .jar files that implemented these applets?하나씩 살펴보면, jar 파일을 요청하는 패킷 2개를 확인할 수 있다. : sdfg.jar, q.jar2. What was Ms. Moneymany’s username on the infected Windows system? MD5 파라미터에 악성 파일의 MD5 해시값이 넘어가고 있는걸로 봐서는 ADMINISTRATOR인 것 같.. [SKS!/Forensics] 2주차 | Thursday 문제 1 evidence04 Puzzle #4: The Curious Mr. X 1. What was the IP address of Mr. X’s scanner? 첫번째 패킷을 살펴보면 Flasg에 Syn만 1로 되어 있다. 그리고 TCP SYS 또는 TCP Connectscan 임을 알 수 있다. 보낸 IP주소가 Mr.X로 확인이 된다. : 10.42.42.253 2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one: TCP SYN/TCP ACK/UDP/TCP Connect/TCP XMAS/TCP RST ip.dst==1.. [SKS!/Forensics] 2주차 | Wednesday| 문제 1 what did I write? [SKS!/Forensics] 2주차 | Tuesday 문제 1 evidence03 Puzzle #3: Ann’s AppleTVAppleTV static IP : 192.168.1.10 1. What is the MAC address of Ann’s AppleTV?간단하게 Statistics - Conversations 에 들어가면 Ann’s AppleTV MAC 주소를 확인할 수 있다. 확인 차 IP 필터링으로 검색해 패킷의 상세 정보를 통해 확인해 보면 동일한 것으로 확인이 된다. : 00:25:00:fe:07:c42. What User-Agent string did Ann’s AppleTV use in HTTP requests?"ip.addr == 192.168.1.10 && http" 필터링으로 User-Agent을 찾을 수 있다. : AppleTV/2.4 3. What w.. [SKS!/Forensics] 2주차 | Monday 문제 1 evidence02 Puzzle #2: Ann Skips Bail3. What is Ann’s secret lover’s email address?이메일 메시지를 보내고 받는 데 사용되는 통신 프로토콜인 SMTP로 검색해 TCP Stream을 보면 2개가 확인이 된다. Statistics - Conversations 에 들어가면 위 그림과 같이 전체 통신의 흐름을 확인할 수 있다. 1. 에게 보낸 메일에 점심을 못 먹는다는 내용이 확인이 된다. 2. 에게 보낸 메일에 가짜 여권과 수영복을 챙기라는 메세지가 담겨 있다. sweetheart, love,Ann... 담긴 메세지를 봐서는 이 메일 주소가 Ann의 비밀 애인이 아닐까? 추측해본다.4. What two items did Ann tell her secret lo.. [SKS!/Forensics] 1주차 | Friday 문제 1 Suninatas 29 1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. 네이버에만 접속하면 사이버 경찰청 차단 화면으로 넘어 간다? -> IP 주소와 도메인 주소를 매핑해주는 파일인 hosts를 살펴 봐야 할 것 같다. 확인해 본 결과, 사이버 경찰청 차단 화면창이 확인이 된다. hotts 파일을 찾아 보면 key 값이 보이지 않는다. 음.. 혹시 모르니깐 숨겨진 파일이 있는지 확인해 보았다. 또 다른 hosts 파일이 확인 됐다. 이 txt 파일에서 key 값을 찾을 수 있었다. : 💡 what_the_he11_1s_keeyc2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자) - ex) c:\windows\notepad... [SKS!/Forensics] 1주차 | Thursday 문제 1 Suninatas 32 해당 파일이 손상되었다고 한다. HxD로 확인해보면, FAT32(EB 58 90)인 것을 알 수 있다. 보면 FSINFO의 마지막 시그니처는 마지막 4bytes에 위치한다. 부트 섹터와 같은 ''55 AA" 값을 가진다. 하지만 위의 파일을 확인해 보면 0x126~0x127에 55 AA가 존재하는 것을 볼 수 있다. 앞에 입력 되어 있는 모든 섹터의 시그니처를 원래의 자리로 옮기기 위해 0으로 채웠다. FTK Imager를 이용해 테러리스트 문서를 찾아보겠다. 1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9) 2016년 5월 30일 월요일, 오전 11:44:022. 다음 테러 장소는? Rose ParkMD5로 인코딩 해보면 8ce84f2f0568e3c70665.. [SKS!/Forensics] 1주차 | Wednesday| 문제 1 zipper Something doesn't seem quite right with this zip file. Can you fix it and get the flag? 압축 해제가 불가능하다. 파일의 문제점에 대해 자세히 더 알아봐야 할 것 같다. 파일의 이름이 너무 길다는 에러 메시지를 확인할 수 있었다. 명령어를 사용하여 파일을 좀 더 살펴보면.. Filename Length가 '2329'로 크게 설정되어 있다. 이 부분을 HxD로 크기를 작은 임의 값으로 주어 수정해보겠다. 앞서 로 살펴보았듯이 Filename Length는 001A와 00A4에 존재하는 것을 확인할 수 있다.각각 Local Header 영역과 Central Header 영역인 것을 알 수 있다. Filename Length를 크기가 작은 .. 이전 1 2 3 다음
