[DreamHack] Return Address Overwrite
[DreamHack] Return Address Overwrite
2024.07.09난 포렌식 하는 사람인데 포너블을,,,,? 바이너리 파일을 다운로드 받아, C코드와 바이너리를 확인한다.// Name: rao.c// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie#include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0);}void get_shell() { char *cmd = "/bin/sh"; char *args[] = {cmd, NULL}; execve(cmd, args, NULL);}int main() { char buf[0x28]; init(); printf("Input: "); scanf("%s", buf); return ..
[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
2022.08.20
[iOS Forensics] iPhone Wallet Pass (지갑) 포렌식
[iOS Forensics] iPhone Wallet Pass (지갑) 포렌식
2021.02.12Phone에 저장되어있는 지갑을 포렌식 해보도록 하겠습니다.먼저 아이폰의 백업 파일을 추출해서 사용하겠습니다. 상황에 따라 본인에 맡게 사용하시면 될거 같습니다. 백업 파일 추출에 관해서 연락이 많은데, 이 부분에 대해서는 현재 아이폰 포렌식 도구를 만들고 있습니다.github.com/kim-do-hyeon/iphone-forensicskim-do-hyeon/iphone-forensicsiPhone Forensics Tool. Contribute to kim-do-hyeon/iphone-forensics development by creating an account on GitHub.github.com해당 도구를 사용하시면 추출이 가능합니다.먼저 Wallet Pass가 저장되어 있는 데이터베이스의 위치는..
[iOS Forensics] iPhone SMS (문자) 포렌식
[iOS Forensics] iPhone SMS (문자) 포렌식
2021.02.10Phone에 저장되어있는 캘린더를 포렌식 해보도록 하겠습니다. 먼저 아이폰의 백업 파일을 추출해서 사용하겠습니다. 상황에 따라 본인에 맡게 사용하시면 될거 같습니다. 백업 파일 추출에 관해서 연락이 많은데, 이 부분에 대해서는 현재 아이폰 포렌식 도구를 만들고 있습니다. github.com/kim-do-hyeon/iphone-forensics kim-do-hyeon/iphone-forensics iPhone Forensics Tool. Contribute to kim-do-hyeon/iphone-forensics development by creating an account on GitHub. github.com 해당 도구를 사용하시면 추출이 가능합니다. 먼저 SMS가 저장되어 있는 데이터베이스의 위치는..
[iOS Forensics] iPhone 캘린더 포렌식
[iOS Forensics] iPhone 캘린더 포렌식
2021.02.09iPhone에 저장되어있는 캘린더를 포렌식 해보도록 하겠습니다. 먼저 아이폰의 백업 파일을 추출해서 사용하겠습니다. 상황에 따라 본인에 맡게 사용하시면 될거 같습니다. 백업 파일 추출에 관해서 연락이 많은데, 이 부분에 대해서는 현재 아이폰 포렌식 도구를 만들고 있습니다. github.com/kim-do-hyeon/iphone-forensics kim-do-hyeon/iphone-forensics iPhone Forensics Tool. Contribute to kim-do-hyeon/iphone-forensics development by creating an account on GitHub. github.com 해당 도구를 사용하시면 추출이 가능합니다. 먼저 캘린더가 저장되어 있는 데이터베이스의 위치..
[iOS Forensics] iPhone 연락쳐 포렌식
[iOS Forensics] iPhone 연락쳐 포렌식
2021.02.09오늘은 iPhone에 저장되어있는 연락쳐를 포렌식 해보도록 하겠습니다. 먼저 아이폰의 백업 파일을 추출해서 사용하겠습니다. 상황에 따라 본인에 맡게 사용하시면 될거 같습니다. 백업 파일 추출에 관해서 연락이 많은데, 이 부분에 대해서는 현재 아이폰 포렌식 도구를 만들고 있습니다. github.com/kim-do-hyeon/iphone-forensics kim-do-hyeon/iphone-forensics iPhone Forensics Tool. Contribute to kim-do-hyeon/iphone-forensics development by creating an account on GitHub. github.com 해당 도구를 사용하시면 추출이 가능합니다. 먼저 연락쳐가 저장되어 있는 데이터베이스..
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
2020.10.22디지털 포렌식 전문가 2급을 준비하면서 기출문제들이 별로 없다는 사실을 알게 되었고, 기출문제들을 각색해서 문제를 제작해 보려고 합니다. 아직 서툴지만 이해해주시고 봐주시면 감사하겠습니다. (저도 공부 목적입니다..) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 1번. 컴퓨터 발전의 방향에 관한 설명으로 옳지 않은 것은 무엇인가? 통합된 환경에서 개발하는 도구가 많아지고 있는 추세이다. 저전력 소모를 위한 설계를 고려하지 않아, 전력 소모에 관한 문제가 점점 커지고 있는 추세이다. 통신을 위한 하드웨어 기능이 계속해서 향상되고 있는 추세이다. GPU 기능이 많이 사용되는 추세이다. 더보기 정답 : 2. 저전력 소모를 위한 설계가 굉장히 많아지고 있으며, 대..
MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트
MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트
2020.10.21[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 새로운 애플리케이션과 서비스가 시장에 출시되는 빈도와 함께 사용자 지정 아티팩트를 사용하면 Magnet AXIOM에서 지원되지 않을 수 있는 아티팩트를 최신 상태로 유지할 수 있습니다. 기업 환경에서 맞춤형 아티팩트를 사용하여 독점적 응용 프로그램의 데이터를 복구할 수 있습니다. 고유 아티팩트를 만드는 것 외에도, 아티팩트 교환을 사용하여 다른 조직에서 작성하고 업로드한 맞춤형 아티팩트를 다운로드하고 설치할 수 있..
[프로그래머스] 서울에서 김서방 찾기
[프로그래머스] 서울에서 김서방 찾기
2020.10.06문제에서는 리스트를 주어지고, 그 리스트 안에는 무조건 김서방이 존재한다고 한다. 파이썬에서는 리스트에 특정값이 있다면, index 함수를 이용해서 어느 위치에 있는지 알수 있다. 다른 사람의 풀이를 보면, 이렇게 하는 방법도 있다고 한다.
[ios Forensics] 아이폰 카카오톡 포렌식 - #2 DB 복호화
[ios Forensics] 아이폰 카카오톡 포렌식 - #2 DB 복호화
2020.10.05오랜만에 아이폰 카카오톡 포렌식에 관련해서 글을 쓰게 되었습니다 :) blog.system32.kr/160?category=824834 [ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출 오늘은 아이폰에서 카카오톡 DB를 추출해 보도록 하겠습니다. 먼저 준비물입니다! 1. 아이폰 (탈옥되어있어야한다.) 2. 분석이 가능한 컴퓨터 3. 근성 위 세가지만 가지고 계시다면 충분히 카카오� blog.system32.kr 저번 포스팅을 참고하시면 DB 추출 방법에 대해서 확인 하실수 있습니다. 먼저 복호화 하기 앞서, 복호화 방법에 대해서는 기본 구조만 알려줄것이며, 전체 소스는 공개하지 않습니다. ios용 카카오톡의 데이터 베이스를 복호화 하기 위해서는, 먼저 키값을 찾으셔야 합니다. 키값의..
[Ubuntu] 우분투에 Nodejs와 Yarn 설치
[Ubuntu] 우분투에 Nodejs와 Yarn 설치
2020.10.04Nodejs 설치 $ sudo apt-get update $ sudo apt-get install -y build-essential $ sudo apt-get install curl $ curl -sL https://deb.nodesource.com/setup_10.x | sudo -E bash -- $ sudo apt-get install -y node.js 설치 버전 확인 $ node -v $ npm -v Yarn 설치 $ npm install -g yarn 설치 버전 확인 $ yarn -v
[HMCTF] Q 39번
[HMCTF] Q 39번
2020.10.04파일을 확인해 보자. 문제라는 바이너리가 주어졌고, HxD를 통해서 확인해본결과 시그니쳐가 PK임을 확인할 수 있다. xlsx 파일로 변환해주고 열어보자. FLAG : 디지털포렌식
[HMCTF] Q 16번
[HMCTF] Q 16번
2020.10.04문제 내용 : Find Key 문제 파일에는 Kakao.bmp 라는 파일이 존재한다. 단순히 스테가노 그래피 문제로 추정을 할 수 있다. 그래서 binwalk를 통해서 살펴보았다. Binwalk를 통해서 파일을 확인해본 결과 어디서 많이 본 것들이 확인된다. 바로 OpenStego 스테가노그래피 도구를 사용한 것이다. 바로 OpenStego를 통해서 추출한다. keyword.txt 파일이 추출됐음을 알 수 있다. FLAG : SEAGATE
[HMCTF] Q 22번
[HMCTF] Q 22번
2020.10.0415번 연계 문제라고한다. 15번 문제에서는 RecycleBin.zip 파일이 주어졌고, 휴지통 분석으로 추측 할 수 있다. 막상 압축을 해제하고 보면 파일이 존재하지 않는다. RecycleBin의 특성상 숨겨져 있기 때문이다. 폴더가 총 3개 존재하며 FTK Imager을 통해서 파일들을 추출한다. 파일들을 추출하고, 의심되는 파일을 확인한다. 파일에서 잔액으로 추정되는 파일을 찾을 수 있었고, 5월달의 금액을 확인한다. 잔액은 185000으로 확인이 되고, 파일 명을 확인해야 한다. 삭제된 파일의 경우 데이터는 $RI를 통해서 저장되고, 파일명의 경우 $II 로 저장이 된다. 파일 명을 확인 할 수 있었다. FLAG : 2020file.xlsx_185000
[HMCTF] Q 15번
[HMCTF] Q 15번
2020.10.04RecycleBin.zip의 MD5 해쉬값을 구하라고 한다. 간단히 HashTab을 사용해서 구할 수 있다. FLAG : EF6A629D231BDF9E8683A1D8B157695B