[ CTF-d ] GrrCON 2015 #2
[ CTF-d ] GrrCON 2015 #2
2020.01.12https://blog.system32.kr/72 [ CTF-d ] GrrCON 2015 #1 프로세스 중에서 OUTLOOK.EXE 프로세스를 덤프한다. 메모리 덤프가 가능한데 Memory Dump 파일에서 이메일을 추출하면된다. grep 기능을 통해서 @naver.com / @daum.net / @hanmail.net / @gmail.com 을 검색한.. blog.system32.kr 이 글과 마찬가지이다. grep 기능을 통해서 exe를 추출보자. 추출 결과 이메일에서는 Hello Mr. Wellick, In order to provide the best service, in the most secure manner, AllSafe has recently updated our remote VPN so..
[ CTF-d ] GrrCON 2015 #1
[ CTF-d ] GrrCON 2015 #1
2020.01.12프로세스 중에서 OUTLOOK.EXE 프로세스를 덤프한다. 메모리 덤프가 가능한데 Memory Dump 파일에서 이메일을 추출하면된다. grep 기능을 통해서 @naver.com / @daum.net / @hanmail.net / @gmail.com 을 검색한 결과 @gmail.com만 작동했다. flag : th3wh1t3r0s3@gmail.com 자세한 풀이는 아래 링크를 참고하도록 하자.
MAGNET Axiom - IOS Forensics #3 채팅 분석
MAGNET Axiom - IOS Forensics #3 채팅 분석
2020.01.09채팅분석 #1 - iOS iMessage/SMS/MMS 분석입니다. 2020-01-09 필자는 100% 검사를 대략 2시간만에 완료했습니다. (아이폰6) 아티팩트를 살펴 보니 18,446개의 증거파일이 존재한다고 합니다. 먼저 채팅관련부분을 살펴보겠습니다. 채팅 관련 부분에서는 IOS IMessage/SMS/MMS 등을 파악할수 있었습니다. 먼저 범주로는 보낸사람, 메시지, 메시지 보낸 날짜/시간, 받는사람, 유형, 상태, 메시지 배달 날짜/시간, 메시지를 읽은 시간, 첨부파일, 첨부파일 복구됨, Sent By Siri, 소스, 복구방법, 삭제된 출처, 위치 등을 파악할수 있습니다. 자세히 알아보도록 하겠습니다. 1. 보낸사람 : 즉 말그대로, 보낸사람의 이메일 명 또는 전화번호를 표시합니다. 2. 메시..
MAGNET Axiom - IOS Forensics #2
MAGNET Axiom - IOS Forensics #2
2020.01.07이어서 작성하겠습니다. 이미지 빌드 경과 10분후 이미지 해시 계산으로 넘어갔습니다. 이미지 해시 계산이 완료되니 MAGNET Axiom Examine으로 자동으로 넘어가졌습니다. 자동으로 검색이 진행중이고, Examine으로 분석이 가능합니다. 증거 처리가 되고 있는 상황을 확인할 수 있습니다. 케이스 대시보드에는 케이스 개요, 증거 개요 등이 있습니다. 컴퓨터 사양이 딸려 일단 잠시 멈추고 분석하겠습니다. 미디어 옵션으로 들어가면 833개의 미디어가 검출된것을 확인할 수 있습니다. 하지만 아직 8%여서 그런지 제가 다운 받아논 사진은 보이지 않습니다. 미리보기와 세부 정보를 지원합니다. 파일 이름, 확장자, 마지막 수정 날짜, 크기, MD5, SHA1 을 알려주고 있습니다. /Library/Mobil..
MAGNET Axiom - IOS Forensics #1
MAGNET Axiom - IOS Forensics #1
2020.01.07기회가 되어서 마그넷 회사의 axiom 디지털 포렌식 툴을 사용하게 되었습니다. 늘 감사드립니다. 필자는 진행 중이던 분석이 없으므로 새로운 케이스를 만들어 줘야 합니다. 케이스 번호, 케이스 유형, 케이스 파일 저장 위치 등등을 입력할 수 있습니다. 필자는 새로운 케이스를 생성해 줬습니다. 증거 소스를 선택해 줘야 합니다. 증거 소스로는 컴퓨터, 모바일, 클라우드가 있습니다. 클라우드는 어떤 기능을 가지고 있을지,, 필자는 항상 궁금했습니다. Magnet Axiom ios forensics을 꼭 한번 써보고 싶다. 이번에 기회가 되어 어서 빠르게 분석해보겠습니다. (필자는 아이폰을 포렌식 할 거여서 모바일을 선택했습니다.) 증거 로드, 증거 인식, GRAYKEY에 연결 기능이 있습니다. GRAYKEY에..
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
2020.01.01필자는 오늘 Iphone KeyChain Forensics를 진행하였다. 먼저 아이폰의 회사, 즉 애플의 말에 따르면, 아이폰에 있는 Keychain은 Application에서 사용하는 User Name, Password, Network Password, Auth Token 등 민감한 정보를 저장하는데 사용하는 안전한 저장소라고 한다. 애플 자체적으로도 Wi-fi 네트워크 패스워드나 VPN 자격 증명을 저장하는데 Keychain을 사용하고 있다. 암호화된 sqlite 데이터베이스 파일로 /private/var/Keychain/keychain-2.db 에 저장된다. 그럼 어떻게 추출하는가? Keychain Dumper를 이용해서 keychain을 분석한다. https://github.com/ptoomey3..
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
2019.12.20아이폰 SMS 포렌식이다. DB 를 추출하는 방법은 아래를 참고 하면 된다. https://blog.system32.kr/66 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 아이폰 SMS 경로는 https://blog.system32.kr/65에 상세히 적혀 있으니 참고 하도록 하자. /var/mobile/Library/SMS DATE 로 바꾸는 사이트 입니다. 먼저 ..
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
2019.12.20아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를 통해서 사용해도 된다.) // scp 방법으로 추출은 따로 포스팅 하겠다. DB Browser for SQLite (https://sqlitebrowser.org/) 먼저 ifunbox를 통한 아이폰 Safari 포렌식이다. http://www.i-funbox.com/ iFunbox | the File and App Management Tool for iPhone, iPad & iPod Touch. iFunbox-Store iFun..
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
2019.12.20[ 주소록 저장 경로 ] /private/var/mobile/Library/AddressBook/AddressBook.sqlitedb [ 문자메시지 저장 DB ] /var/mobile/Library/SMS [ 이메일 헤더파일 저장 경로 ] /private/var/mobile/Library/Mail/POP-자신의 이메일주소/Deleted Messages.mbox/Messages /private/var/mobile/Library/Mail/POP-자신의 이메일주소/INBOX.mbox/Messages [ 사파리(Safari) 검색기록, 히스토리, 북마크 저장 경로 ] /private/var/mobile/Library/Safari [ 벨소리 경로 ] /private/var/stash/Ringtones.******..
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
2019.12.18필자는 오늘 Safari 프로세스를 덤프해서 포렌식을 진행해 볼것이다. 먼저 Frida-ps -U 명령어를 통해서 Safari의 PID가 무엇인지 확인한다. (저 명령어가 무엇인지 모른다면 https://blog.system32.kr/63 을 참고하기 바란다.) [ios Forensics] 아이폰 메모리 포렌식 - fridump 사용 필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다).. blog.system32.kr frida-ps -U 명령어를 통해서 현재 구동중인 프로세스들을 확인할 수 ..
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
2019.12.17필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다) 2. iphone ( 필자는 iphone6 / 12.3.1 을 사용했으며 물론 탈옥이 되어있는 상태이다.) 3. frida 다시 본론으로. python3 버전을 설치하면 자동으로 환경변수가 등록된다. + pip 도 가능하다. 먼저 pip 로 frida 를 설치해준다. C:\Users\pental>pip install frida frida를 설치 했다면, 본인의 아이폰을 컴퓨터에 연결후 C:\Users\pental>frida-ps -U 입력해주..
[GoogleCloud] Google Cloud에 Cloud9 설치하기
[GoogleCloud] Google Cloud에 Cloud9 설치하기
2019.11.27오늘의 포스팅은 Google Cloud 또는 AWS, Azure 등에 Cloud9 설치하는 방법을 포스팅 하겠습니다 :) 먼저 Google Cloud 기준입니다. https://cloud.google.com 클라우드 컴퓨팅 서비스 | Google Cloud Google Cloud를 통해 비즈니스를 혁신하세요. Google Cloud Platform으로 빌드하고 혁신하고 확장하세요. G Suite로 공동작업하고 생산성을 높이세요. cloud.google.com 접속하신후 인스턴스를 만들기를 시작합니다. 빨간색 부분은 개인 설정이므로 알아서 잘 맞춰 줍니다. 사실 저 대로 진행하셔도 괜찮습니다. 필자는 Debian GNU/Linux 9 (stretch)가 아닌 Ubuntu 16.04 버전을 사용할거기 때문에..
[GoogleCloud] Google Cloud에 PLEX Media Server 설치하기
[GoogleCloud] Google Cloud에 PLEX Media Server 설치하기
2019.11.25오늘의 포스팅은 Google Cloud 또는 AWS, Azure 등에 Plex Media Server 설치하는 방법을 포스팅 하겠습니다 :) 먼저 Google Cloud 기준입니다. https://cloud.google.com 클라우드 컴퓨팅 서비스 | Google Cloud Google Cloud를 통해 비즈니스를 혁신하세요. Google Cloud Platform으로 빌드하고 혁신하고 확장하세요. G Suite로 공동작업하고 생산성을 높이세요. cloud.google.com 접속하신후 인스턴스를 만들기를 시작합니다. 빨간색 부분은 개인 설정이므로 알아서 잘 맞춰 줍니다. 사실 저 대로 진행하셔도 괜찮습니다. 필자는 Debian GNU/Linux 9 (stretch)가 아닌 Ubuntu 16.04 버전..
[Digital Forensics] "압수 수색"에 대해 알아보기
[Digital Forensics] "압수 수색"에 대해 알아보기
2019.11.24먼저 압수의 대상을 확인해야 한다. 압수의 대상 中 전자적 기록은 가시성과 가독성을 갖추지 않은 무형정보 압수 · 수색의 대상이 될 수 있는가에 대한 논의가 있다. 현행 형사소송법 제106조 1항의 경우 압수 · 수색의 대상을 증거물 or 몰수물이라고 정의 증거물 = 일반적으로 ‘강제적으로 점유이전의 처분에 당하여 대체성이 없고 물리적으로 관리 가능한 유체물’ (Q. 실질적으로 압수 가능한 것일까?) 개정 형사소송법을 보면 제106조 3항은 ‘법원의 압수 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장 매체(이하 이 항에서 ’정보저장 매체 등’이라고 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제해 제출받아야 한다.' 하지만 범위를 정하고 출력 또는 복제하는 방법이 불가능하거나 압..
[정올] 1304 : 숫자사각형3
[정올] 1304 : 숫자사각형3
2019.11.221 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 #include int main() { int i,j; int num = 0; scanf("%d",&num); int temp = 0; int count = 1; for(i = 0; i