~보안 일기~

9번에 들어가면 한 파일을 다운받을 수 있다. 이 파일을 받아보면 안에 exe 파일이 있다 열어보면이러한 파일이 나온다. 이 프로그램을 올리디버거에서 열어보았다.어셈블리쪽을 살펴보다가 메세지 박스가 보였는데 Congratuation 이라는 텍스트가 보여서 이 주변에 플래그가 있을 수 있다고 생각했다. 바로 위에 아스키로 숫자 6자가 보여서 이 숫자를 빈칸에 넣어보았다.정답이다!

8번 문제에 들어가면 보이는 화면이다. 다른 요소는 없어서 개발자 모드로 들어가 소스코드를 살펴보았다.소스코드에는 다음과 같이 힌트가 적혀있다. 아이디는 알려주었는데 패스워드가 무엇인지 알아봐야할 것 같다.찾아보니 이렇게 나온 문제들은 '부르트포스'를 통해 찾아야 한다고 한다. 파이썬으로 이 기능을 구현할 수 있다고 해서 아래와 같이 코드를 작성 후 돌려보았다.조금 시간이 걸리긴 하지만 7707이라는 답이 나왔다.맞는 아이디와 패스워드를 입력하면 정답이다

Chapter 02 데이터 표현과 디스크 구성 제 3절 MBR 하드디스크의 논리적인 구조 (1) MBR 구조 : 부팅 에 필요한 Boot Code와 파티션 정보를 가지고 있다.• Boot Code : 부팅과 관련된 코드를 담고 있는 영역이며, 부팅 가능한 시스템에 대한 Boot Code 영역은 모두 같으며, 446byte의 크기를 가진다.• Partition Table : 실제 파티션 정보를 담고 있는 영역으로 총 4개의 파티션 정보를 저장할 수 있다. 64byte의 크기로 이뤄져 있다.• Signature : 해당 MBR의 끝을 알리는 시그니처 정보이다. ［55 AA］로 끝나며, 총 2byte로 이뤄져 있다. (2) 파티션 테이블 : 부팅 에 필요한 정보가 있는 파티션으로 점프시켜 주기 위한 정보를 가..

Autopsy 정보확인법 1 hash값 확인- 이미지를 생성하면 파일이 저장된 곳에 자동으로 로그파일이 생성됨- 이미지 생성 완료 후 이미징 프로그램에서 완료와 함께 기본적인 매체 정보와 해쉬값을 확인할 수 있음 증거물 매체 정보 확인- 증거 매체(USB) : 총 용량, 총 섹터 수, 시리얼 넘버, Hash 값 등- 파티션/볼륨 : 파일시스템의 종류, 총 용량, 총 섹터 수, 시리얼 넘버, 클러스터 크기, 섹터 당 용량 등- 찾고자하는 정보에 따라 FTK Imager 및 이미지 생성로그와 Autopsy 교차 확인 필요 정보확인 방법1) 매체관련정보 : 이미지 생성로그에서 확인2) 파티션/볼륨 관련정보 : 생성한 이미지 파일을 FTK Imager에 불러와서 확인 특정 파일의 정보 확인● 파일의 시작위치(시..

1. HxD를 이용한 파티션 복구파일 시스템의 확인1) 증거 usb를 E01포맷으로 최초로 이미징을 한 후, FTK Imager에서 불러온다.2) 일부 파티션이 인식 불가라는 에러가 뜨면서 파티션 내부가 확인되지 않는 것을 확인3) 파티션 내부 접근이 불가능하고 'Unrecognized file system'이라는 에러메세지가 뜨면 파티션의 BR이 훼손되었을 가능성이 높으므로 복구가 필요함4) 파티션 복구는 RAW 파일로 이미징해서 HxD를 이용하여 복구 FAT 파일 시스템 복구- 생성한 E01 이미지를 확인하여 FAT32에 문제가 있다면 쓰기방지를 한 뒤 RAW파일로 이미지를 다시 생성FAT32 001파일을 HxD에서 열어본 모습.섹터 0을 보고 분석을 해본다. 박스로 잡은 부분을 보면 파티션테이블을 ..

crackme 4번을 다운받으면 위 화면과 같이 켜지는 exe파일이 받아진다. 버튼도 활성화가 되어있지 않은 것을 보아 registerd 버튼이 활성화 되는 조건을 찾아야 하는 것 같다.이 파일을 이뮤니티 디버거에서 켜보았다. 프로그램을 실행시키면 일단 시리얼 넘버가 필요하다. 이 뒤로는 코드가 넘어가질 않아서 쭉 내려서 보며 메인을 찾아야 할 것 같다.이렇게 글자가 써져 있는 부분이 있어서 메인일 가능성이 있다고 생각해 자세히 보았다. 아래로 내려보니 함수로 보이는것들이 많았는데 그 중에 도움이 될만한 것으로 cmp함수가 보여서 중단점으로 잡고 그 부분부터 실행을 시켜보았다. 1을 쳐보았더니 이렇게 유니코드로 2175800으로 시리얼 넘버로 보이는 숫자가 나왔다. 이뮤니티 디버거에서 실행시켜 뜨는 창에..

crackme 1번을 다운받으면 exe가 받아지는데 이것을 이뮤니티 디버거에서 살펴보았다.이 문제는 에러를 점프해서 ok 결과가 나오면 풀리는 문제이다. 가운데 있는 ESI와 EAX를 보면 둘이 같으면 에러를 넘길 수 있다. 그래서 저 명령어를 고쳐 EAX끼리 비교하는 방식으로 고쳐보겠다.이렇게 CMP를 수정해주었더니 아래로 점프된 것을 볼 수 있다.결과 확인창

chapter 02 데이터 표현과 디스크 구성 제 1절 하드디스크 구조 하드디스크 구조- 전원 커넥터 : 하드디스크에 전원을 공급해주는 단자- 데이터 커넥터 : 하드디스크와 컴퓨터 사이의 데이터를 전송해주는 단자- 헤드 : 데이터를 읽어준다- 액츄에이터암 : 헤드를 데이터가 있는 위치로 움직여 준다- 플래터 : 실제로 데이터가 저장되는 곳- 스핀들 : 플레터를 돌려준다플래터 구성- 트랙(A) : 하드디스크의 물리적인 최소단위인 섹터(512byte) 단위의 모음, 원심 전체가 트랙- 섹터(B) : 하드디스크의 물리적인 최소단위- 트랙 섹터(C) : 같은 구역에 있는 섹터의 집합- 클러스터(D) : 섹터 단위를 묶어 데이터의 입출력 단위. 기본은 4,096byte이다. (1) 클러스터섹터 단위로 입출력을 처..

chapter 02 데이터 표현과 디스크 구성 제 1절 데이터 표현 (3) 문자문자 코드는 한글, 영어(A〜Z, a〜z), 숫자(0〜9), 특수문자 등의 모양 을 특정 2진 값으로 정해 놓아 표현한다. 1) ASCII 문자 코드7bit로 구성된 128종의 기호. 제어 부호 33자, 그래픽 기호 33자, 숫자 10자, 알파벳 대소문자 52자로 되어 있다. 2) 엡시딕 코드(EBCDIC)CodeBCD 코드를 확장한 형태로 확장형 BCD 코드라 하며 IBM이 대형 운영체계에서 사용하기 위해 개발한 알파벳 및 숫자를 위한 바이너리 코드EBCDIC 파일 내에서 각 알파벳이나 숫자는 8bit의 이진수로 표현되므 로, 총 256개의 문자가 정의된다. 3) 유니코드(Unicode)나라별 언어를 모두 표현하기 위해 나온..

쓰기방지 실습 레지스트리 수정을 통한 쓰기방지 1. 윈도우 시작버튼 -> 레지스트리 입력 2. 왼쪽 폴더 트리에서 StorageDevicePolicies가 있는지 확인 3. 없는 경우 새로 생성 그 안에 DWORD를 만들어서 파일?을 만들고 이름을 WriteProtect라고 작성한다. 여기서 데이터 값이 0이면 쓰기방지 해제, 1이면 쓰기방지 설정인거임 더블클릭해서 값 데이터를 1로 바꿔주면 된다. 4. 값 변경이 완료되면 창을 닫고 USB를 연결하여 이미지 생성 작업 시작 5. 쓰기방지 적용은 레지스트리를 정상적으로 수정 된 이후부터 연결되는 기기에만 적용됨