digital forensic 11 [Review] 한글(HWP) 클립보드 임시파일과 텔레메트리 데이터를 활용한 문서 편집 이력 추적 연구 한글(HWP)에 어떠한 내용을 붙여넣기 했을 때 남는 관련 아티팩트에 대해서 다룬 논문입니다. 해당 내용이 신기하기도 하였고 최근 한글(HWP)버전에서도 똑같이 적용이 되어서 정리하게 되었습니다. ※ 다른 포스트를 보면 논문을 요약하면서 작성하였지만 저는 저만의 방식대로 작성해보겠습니다. ※ 논문은 따로 실습을 통해 정리만 했지 이렇게 리뷰하는 형식은 처음이라 서툴러도 양해 부탁드립니다. *논문 : 한글(HWP) 클립보드 임시파일과 텔레메트리 데이터를 활용한 문서 편집 이력 추적 연구 *저널 : 한국디지털포렌식학회 *논문 사이트 : https://www.dbpia.co.kr/journal/articleDetail?nodeId=NODE11144237 한글(HWP) 클립보드 임시파일과 텔레메트리 데이터를 활.. Digital Forensics/논문 리뷰 2023. 3. 23. [H4CKING GAME] - [for] art write up 드디어 마지막 문제로 해당 문제는 정확히 2GB에 mp4파일이 제공되었다. 학교 내부에서 대회를 열면서 문제를 만들때 메모리 포렌식 문제를 출제했던 적이 있어서 해당 파일의 크기는 매우 의심스럽게 다가왔고 문제를 다운로드하면서도 생각을 했지만 2GB와 지문에서 있는 RAM이 이건 메모리 덤프파일이 아닐까? 라는 생각이 들었다. 그래서 해당 부분을 file 명령어를 통해서 살펴봤는데 역시나 mp4파일이 아니였다. 메모리 덤프파일이다! 라는 확신을 가지고 문제를 풀이했다. volatility 2.6 버전을 이용했었지만 최근 운영체제는 2.6 버전에서는 profile을 찾지 못해 최근에는 volatility 3 버전을 이용해서 문제를 풀이하였지만 아직까진 작성자에게 익숙한 vol 2.6 버전을 이용해서 문제를.. CTF/H4CKING GAME 2023. 3. 22. [H4CKING GAME] - [for] CODE write up 이 문제도 시간을 좀 걸려서 풀었던 문제입니다. 일단 풀이수가 다른 문제에 비해 현저히 적기도 하고 150점 문제이길래 너무 어렵게 생각을 했는지 간단하게 생각했더니 쉽게 풀었습니다. 먼저 해당 문제의 이미지 파일이고 해당 파일을 HxD로 열게 되면 아래와 같이 나옵니다. 이제 해당 FF랑 00을 보고 대부분 다른 CTF에서는 FF가 1을 의미하고 00이 0을 의미해서 해당 binary 값을 통해서 플래그 값을 얻는 문제이겠지? 라는 생각을 가지고 뭐 여러가지 조합을 해봤지만 유효한 값을 찾을 수 없었습니다. 여기서 많은 삽질을 하였고 이제 어떻게 하지 고민을 하다가 바코드 부분에서 색을 칠해진 부분을 1 색이 안칠해진 부분을 0으로 기준을 삼아서 해당 binary를 string으로 변환해주니 아래와 같.. CTF/H4CKING GAME 2023. 3. 22. [H4CKING GAME] - [for] cat write up 해당 문제도 고양이는 매우 귀엽다라는 지문과 함께 jpg파일이 하나 제공되었습니다. 먼저 해당 파일을 살펴보면 다른 파일과 다르게 사진의 용량이 큰 것을 확인할 수 있습니다. 그래서 저는 해당 부분을 보고 다른 파일이 숨겨져 있나? 라는 생각으로 binwalk를 통해서 해당 파일이 어떤 구조로 이루어져 있는지 살펴봤습니다. 해당 부분을 보고 다른 파일이 있나? 라는 생각을 가지고 해당 파일이 플래그 값이겠구나! 라는 생각으로 해당 부분을 파싱해주니 아래의 사진처럼 회색 바탕의 고양이 사진이 있었습니다. 이걸 보고 이거로 스테가노그래피를 하면 문제가 풀리겠지? 라는 생각으로 여러 방법을 써봤는데 풀리지 않아서 시간을 좀 낭비했었습니다. 그래서 도저히 모르겠어서 원래 사진을 HxD를 통해서 열어보니 푸터 시.. CTF/H4CKING GAME 2023. 3. 22. [H4CKING GAME] - [for] LineFeed write up 일단 해당 문제가 워게임 사이트에서 가장 오래걸려서 푼 문제입니다. 위에 있는 사람이 해당 문제에서 제공된 사진입니다. 뭐가 깨졌다고는 하는데 뭐가 깨진건지 헤더시그니처와 푸터시그니처랑 다른 것도 전부 봐보고 제가 말했던 7가지 정도의 방법도 다 시도를 해봤는데도 풀리지 않아서 포기를 하다가 갑자기 CTF-D에서 사진의 크기를 바꿔서 풀었던 문제가 기억나서 해당 문제를 풀이했습니다. PNG 파일 구조를 분석해보면 알 수 있듯이 해당 부분이 해당 사진의 크기를 정해주는 부분입니다. 맨 처음 부분이 너비이고 다음 부분이 높이에 해당하는 부분이고. CTF-D에서 풀이했던 문제는 높이를 수정했었던것 같아 이 부분을 건들여줬습니다. 높이를 높이니 뭐가 좀 보여서 너비도 조정해줬습니다. 뭐 이렇게 저렇게 하다보니깐.. CTF/H4CKING GAME 2023. 3. 22. [H4CKING GAME] - [for] Easy write up 해당 문제는 easy라는 지문과 함께 png파일이 제공되었습니다. 해당 문제도 스테가노그래피 문제로 예측되니 똑같은 방식으로 접근을 해봤습니다. 아래 사진처럼 stegonline이라는 사이트를 이용해서 해당 문제를 풀이해줬고 해당 QR코드를 휴대폰으로 찍으니 플래그 값이 나왔습니다. CTF/H4CKING GAME 2023. 3. 22. [Wolv CTF] - [for] Employee 427: Compromised write up 해당 문제는 전에 게시되어 있는 글의 전 단계 문제입니다. 나중에 풀이하는 이유는 신기하게도 해당 문제 풀이 수가 더 적어서 해당 문제를 나중에 적게 되었습니다. 방금 전 문제에서는 삭제된 파일을 복구하는 문제였다면 이 문제는 해당 파일을 어떻게 삭제했는지를 찾는 문제입니다. 일단 전에 문제에서도 확인했듯이 $Recycle.bin(휴지통)에서는 삭제된 기록을 확인할 수 없었습니다. 저는 해당 부분을 보고 어떠한 프로그램을 이용해서 해당 파일을 삭제했을것이라 생각하였고 prefetch파일을 통해서 어떠한 프로그램이 실행되었는지 확인하려고 했지만 문제 출제자측에서 해당 파일을 남겨놓지 않아서 다른 부분으로 확인하기로 했습니다. 더 많이 응용프로그램의 실행흔적을 알 수 있지만 일단 제가 알고 있는 내용을 간단.. CTF/Wolv CTF 2023. 3. 22. [SpringForward CTF] - [for] Everybody’s SO Creative write up 제가 해당 CTF에서 풀었던 마지막 문제입니다. 해당 문제를 풀이하고도 몇몇 문제가 더 나왔던것 같은데 시간이 없어서 여기까지만 풀이했었습니다. 절대 못 푼거 아닙니다. 해당 문제는 문제 지문에서 audacity라는 키워드를 주워졌기에 바로 audacity툴을 이용해서 문제 풀이를 시작했습니다. 여기서도 마찬가지로 .wav파일이 제공되었습니다. 해당 문제도 저번 문제에서 설명해드린 방법대로 살펴보니 HEX값이 있는걸 확인할 수 있었습니다. 그래서 이것도 일일이 입력해서 제가 전에 소개드린 사이트 (https://codebeautify.org/base64-decode)에서 해당 hex값을 string으로 변환시켜주니 아래와 같이 플래그 값을 확인할 수 있었습니다. 제가 해당 SpringForward CTF.. CTF/Spring Forward CTF 2023. 3. 22. [SpringForward CTF] - [for] Odd Transmission write up 해당 문제는 지문이 없어서... 다음부터는 잘 저장하도록 하겠습니다. 문제에서는 .wav 파일이 같이 제공되었습니다. .wav파일은 그냥 음성파일이라고 생각하시면 되고 이렇게 음성 문제 파일이 주어지면 제가 많이 알지는 못하지만 그래도 아는 선에서 적어보자면 첫번째로 음성 파일에 각각의 신호를 주고 해당 신호를 추출해서 분석하면 플래그가 나오는 문제(?) 두번째는 audacity라는 툴을 이용해서 해당 음성파일에 숨겨져 있는 데이터를 찾는 문제 세번째는 음성파일의 값(?)을 이용해서 해당 음성파일을 변경시켜서 플래그를 찾는 문제(?) 이렇게 되어 있는거 같습니다. 일단 해당 CTF를 풀어보면서 쉬운 난이도의 CTF라는 문제였고 저는 두번째 방식의 풀이로 접근하였습니다. 이건 추가로 적는건데 https:/.. CTF/Spring Forward CTF 2023. 3. 22. [SpringForward CTF] - [for] Backward Time write up 해당 문제에 지문입니다. 해당 문제는 위에 해당하는 png파일이 제공되었습니다. 해당 사진을 보면 색깔이 이상하게 되어 있어서 stegsolve를 이용해서 확인해 봤지만 플래그로 유추되는 값이 없어서 HxD를 통해서 해당 사진을 열어봤습니다. HxD를 통해서 살펴보니 딱 봐도 플래그라고 알려주는 이진수 값이 8개로 나눠서 나타나있습니다. 그래서 해당 부분을 복사해서 https://codebeautify.org/base64-decode 제가 자주 애용하는 사이트인데 해당 부분에서 바이너리 파일을 문자열로 바꿔주면 아래 사진처럼 플래그를 획득할 수 있었습니다. 해당 문제도 간단하게 풀 수 있는 문제였습니다. CTF/Spring Forward CTF 2023. 3. 22. [SpringForward CTF] - [for] Say Cheese write up 해당 문제 지문을 보시면 사진을 찍을 떄 이용한 모델명과 make에 해당하는 문자열을 입력하면 되는 문제입니다. 해당 문제에서 요구하는 건 해당 사진에 대한 정보를 찾을 수 있냐?라는 의도로 문제를 출제한 것 같습니다. 그래서 해당 사진에 대한 정보(메타데이터)에 해당하는 부분을 살펴보기 위해서 저는 exiftool이라는 툴을 이용했습니다. 간단하게 exiftool에 대해서 설명드리자면 파일의 메타데이터를 분석해서 해당 메타데이터를 출력해주는 툴입니다. 해당 툴을 통해서 값을 추가할 수도 있기 때문에 해당 툴에서 UserComment나 여러 부분에서 플래그 값을 추가하는 문제도 종종 볼 수 있었습니다. 문제 풀이로 넘어가 보자면 아래에 있는 사진을 보면 플래그에서 요구하는 값을 찾을 수 있습니다. 이렇게.. CTF/Spring Forward CTF 2023. 3. 22. 반응형 이전 1 다음
