Test

#About

당신은 L정보통신 업체의 직원으로서, 한 사용자가 PC를 이용중에 USB 안에 들어있던 일을 하는데 중요한 id값이 적힌 파일을 삭제하였으며, 해당 파일의 복구를 요청한다는 의뢰를 받게 되었다.

해당 파일을 복구하여 플래그를 획득하여라.

[ File Hash ]

MD5 checksum : 0681B4441762C406F32E026108971928

SHA1 checksum : 3DB60C1005BBB5D5C35D435066FE3834732DC088

#Solution

[그림 1] - 문제 파일 확인

[그림 2] - 이미지 파일의 디렉터리 구조 확인

이전 문제에서 주어진 이미지파일의 디렉터리들과 별 다를게 없으며 NPKI라는 공인인증서가 담긴 디렉터리가 하나 더 있음을 확인했고, 

마찬가지로 삭제 된 파일이기 때문에 이전 문제와 같이 비할당영역에서 해당 파일을 확인 및 파일복구를 할 수 있었다

[그림 3] - 비할당영역에서의 플래그 값 확인

Answer = 60a1f926-c87c-45d3-a4ff-be0ecbfc7caa

#About

삭제된 파일을 찾아 플래그를 획득하시오.

[File Hash]

MD5 checksum : AC22967AB89EB9E671A74D6CD2524AE5

SHA1 checksum : 02EBA0CF40A587666856E4526E49DA78FC23B24F

#Solution

[그림 1] - 문제 파일 확인

파일의 확장자는 E01임을 확인할 수 있고 이는 압축 디스크 이미지 파일의 확장자이며 Encase 또는 FTK Imager로 해당 파일을 열어 분석할 수 있다

따라서 아래와 같이 FTK Imager로 열어주었으며 해당 도구의 출처는 아래의 링크와 같다

http://www.accessdata.com/product-download

[그림 2] - FTK Imager를 통한 디스크 이미지 파일 구조 확인

위 이미지 파일의 파일시스템은 NTFS임을 확인했으며 위 그림에서도 확인할 수 있듯 단순한 디렉터리 구조를 가지고 있었다

파일을 휴지통에서 삭제하게되면 NTFS에 위치하던 해당 파일에 할당된 영역이 다른 파일이 덮어 쓸 수 있도록 비할당영역이 되며 

아래와 같이 비할당 영역에서 해당 문제에서 요구하는 플래그를 확인 및 파일복구를 할 수 있었다

[그림 3] - 비할당영역에서의 삭제된 플래그 확인

Answer = L0v3_Forens1cs

#About

당신은 M 기업의 보안 담당자로서, 내부 기밀을 유출한 혐의를 받고있는 A씨의 PC에서 업무에 지장을 주지 않는 한도 내에서 내부 감사를 진행하여야 했고, 불시에 난입하여 A씨의 PC의 메모리 덤프를 확보하였으며, A씨가 급하게 화면을 종료하는 것을 확인하였다. 또한, A씨의 PC를 조사하며 무언가 암호가 걸린 프로그램을 발견하였다. 

본 메모리 덤프를 통하여 A씨가 내부 기밀을 유출하기 위하여 이용한 숨겨진 password와 파일안에 숨겨진 Flag를 찾아내시오.

(인증형식. password_Flag)

#Solution

[그림 1] - 문제 파일 확인

문제파일을 확인하면 TrueCrypt 파일과 메모리 덤프 파일 하나를 확인할 수 있다. 

TrueCrypt란 오픈 소스 암호화 소프트웨어로 파일 형태의 암호화된 저장소를 만들 수 있고, 파티션 및 물리 HDD를 통째로 암호화할 수 있다

이렇게 암호화 된 저장소에는 해커, 수사기관, 정보기관등도 찾지 못하게 안전하게 숨겨놓을 수 있으며, 

에드워드 스노든 사건 때 사용되면서 미국 FBI, CIA, NSA로부터도 안전하다는 사실이 입증되었다고 한다

https://namu.wiki/w/TrueCrypt

[그림 2] - 이미지 정보 확인

메모리 분석을 사용함에 있어 필요한 명령의 인자로 전해주기 위한 서비스팩 정보를 알기 위해 imageinfo명령을 사용했으며 아래와 같이 전달해주었다

#추후에 업로드 예정....!