~보안 일기~

MBR 분석 파일시스템이란? 하드디스크에 데이터를 어떻게 기록하고, 읽어 들이며, 삭제할 것인지에 대한 약속 파티션 : 하나의 디스크나 USB 장치에 저장공간을 독립된 영역으로 나누어 사용할 수 있도록 정의한 규약 1. 파티션을 사용하지 않는 경우, 자제 제작한 파일시스템 사용 2. 단일 파티션 : 디스크를 파티셔닝하지 않은 경우. BR(부트 레코드)이 항상 파티션 앞에 있다. 3. 다중 파티션 : 디스크를 2개 이상의 파티션으로 나눈 경우. 두 개 이상인 경우 MBR(마스터 부트 레코드)이 맨 앞에 있다. MBR - 역할 : 윈도우가 설치된 파티션의 위치를 확인하여 알려줌 - 특징 : 첫번째 섹터에 위치하여 부트코드와 파티션 테이블 영역으로 나눠진다. 단일 파티션의 경우 존재하지 않을 수 있음 첫 번째..

문제 파일이다. 이 기여운 고양이에 뭐가 숨겨져있을까.. 헥스 에디터로 본 헤더이다. 헤더는 멀쩡한듯해서 푸터를 보았다. 아래쪽에 FF D9로 푸터는 잘 있는데 숫자와 영어가 섞인 이상한 문자열이 있길래 뭘까 하다가 아스키코드 변환기를 사용해보았다. 영어랑 숫자가 있는 수는 16진수일 것 같아 16진수 -> 아스키 변환기를 사용했다. 플래그가 나왔다! 강아지가 좋다니..

이 문제는 파일을 받으면 사진 하나를 주는데 블로그에 이미지 삽입이 되지 않는다.. 사진에 문제가 있는듯 하다 딱 보니 스테가노스라피 종류는 아닌것같아 헥스 에디터로 살펴보았다. 헤더 부분을 봤을땐 딱히 수상해보이는 점은 없었다. 라인 피드가 힌트가 될 것 같아 검색해보니 커서를 아랫줄(다음 줄)로 옮기는 것을 말한다고 한다. 저 사진 아래에 플래그가 있는데 자른 사진이였던 것 같다. 헥스 에디터에서 사진을 수정해주었다. 그랬더니 이렇게 이상한 글자?가 생겼다. 사이즈 조정을 다시 잘 해보았다.. 30분동안 할 수 있는거 다 해봤더니 드디어 이쁘게 플래그가 나왔다.. 원래 이렇게 직접 해보면서 사이즈를 봐야 아는건가..? 노다가성이라 힘들었다..

챕터 2. 데이터 표현과 디스크 구성 1. 데이터의 표현 1) 이진수 체계 0은 전기가 흐르지 않는 상태를 1은 전기가 흐르는 상태 (1) 데이터의 물리적 단위 - 비트 : 데이터 구성의 최소단위, 0과1로 구성 - 쿼터 : 2bit - 니블 : 4bit - 바이트 : 8bit - 워드 : 16bit - 더블 워드 : 32bit - 쿼드 워드 : 64bit - Kilobyte (KB) = 1,024 bytes= 210 bytes - Megabyte (MB) = 1,024KB = 220 bytes - Gigabyte (GB) = 1,024MB= 230 bytes - Terabyte (TB) = 1,024GB= 240 bytes - Petabyte (PB) = 1,024TB = 250 bytes - Exab..

디지털 포렌식 절차 및 무결성 유지 절차가 중요한 이유 : 법 절차에 IT기술을 활용하는 것이므로 증거능력이 상실하면 안되기 때문 준비 단계 1. 사건파악 및 증거물 수집계획 수립 2. 디지털 증거 수집 팀 구성 및 교육 3. 디지털 증거수집 장비의 준비 및 점검 4. 저장매체 확인 현장 도착 1. 전 과정의 사진 및 영상 촬영 2. 영장제시 or 동의서 작성 3. 현장통제 4. 사건현장 기록 증거의 수집 1. 휘발성 증거 수집 2. 비휘발성 증거 수집 3. 주변장치와 기타 기록물 수집 봉인 1. 증거물의 포장 2. 상세정보 기록 및 부착 3. 증거물의 확인 이송 연계보관성이 유지되도록 해야한다 증거분석 및 보고서 작성 무결성 유지를 위한 증거수집 절차 - 영상 촬영 : 전 과정을 영상으로 상세히 촬영 ..

디지털포렌식 용어1 데이터 크기의 표현 Bit < Byte < Kilobyte < Megabyte < Gigabyte < Terabyte < Petabyte 비트에서 바이트로 넘어가는 구간에서는 8바이트 단위로, 나머지는 1024 단위로 넘어간다. 1byte = 8Bit 무결성 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 한다. 무결성이 중요한 이유는 증거 능력이 있어야 하기 때문이다. - 무결성 입증방법 1. 해시값이 원본과 사본이 동일해야 한다 2. 증거의 수집 및 분석, 봉인 이송과정이 적법하게 진행되었는지에 대한 증명 - 사진, 영상 촬영 및 피조사인의 참여를 보장 쓰기방지 무결성이 깨지는 일을 막기 위해 원본 매체가 읽기만 가능하고 쓰기는 불가능하게 만들기 위해 하는 ..

19번은 0과 1이 나열되어있는데 이건 딱 보니 2진수이다. 영어로 바꿔주기 위해 변환사이트에서 변환해보면 이런 문자가 나온다. 이것도 디코딩을 하면 답이 나올줄 알았는데 아니였다! 인터넷의 힘을 빌려 찾아보니 치환 암호라는 것이였다. 치환 암호 (置換暗號, substitution cipher)는 일정한 법칙에 따라 평문(平文, plaintext)의 문자 단위를 다른 문자 단위로 치환하는 암호화 방식이다. 치환 암호를 번역하는 사이트에서 이 문장을 넣어보았다. 이렇게 25개의 복호화문이 나왔는데 9번을 보면 플래그가 나온걸 볼 수 있다.

처음 들어가면 이런 화면이 나오는데 저 숫자들을 보면 아스키코드로 쓰여진 문장같다. 아스키코드를 영어로 바꿔줘야한다. 요즘 좋은 사이트들이 많아서..^^ 쉽게 변환했다. 이 알파벳들을 플래그로 넣어봤는데 이건 답이 아닌 것 같았다.. 그래서 써니나타스 내에 있는 디코더로 디코딩을 해보았다. 플래그 획득! 베리베리통통구리가 답이다..

1. HxD 에디터 파일이나 이미 지의 특정 섹터를 확인하거나 수정할 때 사용된다. - 기능 1) 분석 대상 열기 HxD 에디터는 파일, 물리 디스크, 이미징된 파일을 읽을 수 있다. 2) Sector 이동과 수정 이동하고 싶은 Sector 숫자를 직 접 입력하여 이동할 수 있고, 원하는 위치의 Hex 값으로 수정할 수 있다. 3) 특정 영역 일괄 블록지정 파일이나 디스크 복구 등 많은 섹터 영역을 지정해야 할 때 유용하게 사용된다. 4) 특정 영역 일괄 바꾸기 바꾸고자 하는 영역을 드래그한 후 Edit > Fill selection으로 지정된 블록 영역을 원하는 값으로 모두 바꿀 수 있다. 2. FTK Imager 디스크 이미징 작업에 많이 쓰인다. 이게 디지털 포렌식 전문가 자격증 실기 시험을 볼 때..

디지털 포렌식 분야의 문제이다. 파일을 다운받아보면 이런 회색의 아무것도 없는 사진이 보인다. 뭔지 감이 안와서 여러가지 다 해보기로 했다. 아까 했던 스테가노그라피 사이트에 우선 돌려봤다. 그랬더니 예상도 못하게 이런 큐알코드가 나왔다..! 핸드폰으로 들어가보겠다. 이렇게 구글에 검색어가 뜬 상태로 들어가졌다. 이게 플래그인가..? 진짜 맞았다...(쉬운놈같으니라구) 이렇게 성공~!