분류 전체보기 (638) 썸네일형 리스트형 [멀티미디어 포렌식] 우리는 이 파일에 플래그를... 문제에서 확장자가 없는 flag라는 파일 하나를 제공합니다. hxd로 열어보겠습니다. 시그니쳐가 1F 8B 08로 되어있습니다. 시그니쳐를 확인해보니 gzip 파일입니다. flag 파일에 gz 확장자를 달아서 압축을 풀어보겠습니다. 압축을 풀면 새로운 flag라는 파일이 나옵니다. 이를 hxd로 열어보겠습니다. flag 값을 구할 수 있습니다. [멀티미디어 포렌식] 사진 속에서 빨간색이… 문제에서 png 파일을 하나 줍니다. 열어보겠습니다. 딱히 문제점을 못 찾겠습니다. 문제 제목이 빨간색과 관련되었으므로 stegsolve 툴을 사용해보겠습니다. 빨간색이 이상하다고 했는데 Red plane 0 파트에서 flag 값을 구할 수 있습니다. [멀티미디어 포렌식] 저는 플래그를 이 파일에.. 문제에서 JPG 파일 하나를 줍니다. 열어보겠습니다. FLAG라는 글자와 hex editor이라는 글자가 적혀있으니 hxd로 사진 파일을 열어보겠습니다. 답의 format인 ABCTF로 검색해보니 flag값을 찾을 수 있습니다. [멀티미디어 포렌식] 제 친구의 개가 바다에서… 문제에서 jpg 파일 하나를 제공합니다. 형태를 알아볼 수 없는 파일입니다. 온라인 스테가노그래피 도구인 Forensically 툴을 이용하여 보겠습니다. Principal Component Analysis 탭의 Enhancement 기능을 Equalize Histogram으로 바꾸면, 플래그를 구할 수 있습니다. [디스크 포렌식] NTFS 파일 시스템 Non-Resident 파일 시간 정보 알아보기 FAT32 파일 시스템과 달리 NTFS 파일 시스템에서 시간에 대한 정보는 또 다른 하위 MFT Entry에 저장하게 됩니다. 시간 정보를 저장하는 속성은 $Standard_Information 속성과 $File_Name 속성 두 가지가 있습니다. $Standard_Information 의미 내용 Attribute Type ID 속성 타입 식별 값으로 [10 00 00 00]을 찾으면 됨 Time 각각의 8바이트로 구성되어 있으며 생성, 수정, MFT 수정 시간, 마지막 접근 시간이 저장되어 있음 $File_Name 의미 내용 Attribute Type ID 속성 타입 식별 값으로 [30 00 00 00]을 찾으면 됨 Time 각각의 8비트로 구성되어 있으며 생성, 수정, MFT 수정 시간, 마지막 접근.. [디스크 포렌식] NTFS 파일 시스템 Non-Resident $DATA 속성 NTFS 파일 시스템 Non-Resident $DATA 속성 Non-Resident 속성의 경우 해당 Index Entry에서 0x80($DATA) 속성을 찾아 분석하여 수동으로 해당 데이터의 실제 위치를 알아낼 수 있습니다. 위 그림은 $DATA 속성의 구조입니다. 의미 내용 Attribute Type ID 속성 타입 식별 값을 나타냄. $DATA는 [80 00 00 00] (0x10, 0x30, 0x80, 0xA0 등 하위 MFT Entry) Length of Attribute 속성 헤더를 포함한 속성 전체의 길이를 나타냄 N-R Flag Non-Resident 속성 여부를 나타냄 (0x01은 N-R 속성) Flags 속성 상태를 나타냄 (0x0001은 압축, 0x0002는 숨김, 0x0020은 압축.. [디스크 포렌식] NTFS 파일 시스템의 Resident 속성, Non-Resident 속성 NTFS 파일 시스템의 Resident 속성, Non-Resident 속성 Resident 속성 NTFS 파일 시스템의 경우 파일의 용량이 700byte 이하일 경우 하나의 Index Entry(1024byte)에 속성 정보(메타데이터)와 파일의 내용이 저장됩니다. 이를 Resident 속성이라고 부릅니다. Non-Resident 속성 NTFS 파일 시스템에서 파일의 용량이 700byte 이상일 경우 클러스터를 다시 할당받아 다른 곳에 연속적으로 저장하게 됩니다. 이를 Non-Resident 속성이라고 부릅니다. [디스크 포렌식] NTFS 파일 시스템 NTFS 파일 시스템 NTFS 파일 시스템의 구조는 위와 같습니다. 1. Boot Sector (BR) 영역 NTFS 파일 시스템의 BR 영역도 FAT32와 같이 특정 오프셋 별로 의미하는 바가 다릅니다. 0byte ~ 2byte : Boot Code 3byte ~ 83byte : BIOS Parameter Block 84byte ~ 509byte : Boot Code와 Error Message 510byte ~ 511byte : 시그니쳐 2바이트 위는 NTFS 파일 시스템의 BR 영역 구조입니다. FAT32 파일 시스템보다 구조가 간단해졌다는 점을 확인할 수 있습니다. 이는 FAT32 파일 시스템은 모든 파일을 클러스터에서 직접 관리하지만, NTFS 파일 시스템은 파일에 대한 메타데이터를 파일에 기록하.. [디스크 포렌식] 긴 파일 이름을 가진 FAT32 파일시스템 긴 파일 이름을 가진 FAT32 파일시스템 위 파일 목록을 보면 이름이 긴 파일 하나가 있음을 확인할 수 있습니다. 이름이 긴 파일은 FAT32 파일시스템에서 루트 디렉토리에 새로 32바이트의 영역을 할당한 후에, 이름만을 저장하게 됩니다. 실제 파일 정보가 있는 루트 디렉토리는 Name 오프셋 영역에 저장할 수 있는 바이트 제한으로 파일 이름이 ~로 축소되어 저장됩니다. [디스크 포렌식] 루트 디렉토리의 CreateTime, CreatedDate 계산 루트 디렉토리의 CreateTime, CreatedDate 계산 CreateTime은 파일이 생성된 시간을, CreatedDate는 파일이 생성된 날짜를 나타냅니다. 루트 디렉토리에는 16진수 형태로 저장되어 있기 때문에, 이를 계산해 보겠습니다. 예시 파일입니다. CreateTime 영역은 93 A6으로 적혀있고 CreatedDate 영역은 82 48로 적혀있습니다. 1. CreateTime 계산 CreateTime 영역이 93 A6으로 적혀있으므로, 리틀엔디안 방식으로 변경하면 A6 93으로 읽을 수 있습니다. 이를 2진법으로 변환하면 1001 0011 1010 0110 이 나옵니다. 이 2진수 16자리를 5-6-5로 끊어 읽어주고, 이를 다시 10진수로 변환해주면 됩니다. (초 단위는 *2 해주어야.. 이전 1 ··· 35 36 37 38 39 40 41 ··· 64 다음
