IT EVERYTHING

다운로드를 받으면

notebook이라는 파일이 다운 받아 진다. hxd로 열어보면 

헤더가 41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 인 파일이 나온다. 

41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 이런 파일은 Access Data에서 지원하는 File Format 으로 Ftk Imager 를 통해 Dump를 수행했을때 ,, 확장자를 AD1으로 진행할 경우 만들어지는 파일이다.

그래서 파일 이름을 notebook.ad1 으로 다시 지정해주고 ftk 로 열었다. 

ftk 로 여는 방법은 Add Evidecce -> image File -> notebook.ad1 지정 -> Finish

Desktop - 6095485345 파일을 보면

이렇게 Gps라는 단어가 들어가 있는 것을 볼 수 가 있다.

그리고 사이트가 적혀져 있는 GPS Route Editor 라고 젹혀져 있는 곳에 들어가 다운을 받는다.

그리고 RouteEditor을 실행 시켜 준다. 

Desktop - 6095485345 파일을 추출 시킨다음에 확장자를 .gpx으로 바꿔주고 나서 RouteEditor 에다가 넣어준다.

확장자를 .gpx 로 바꿔줘야지만 RouteEditor에 들어간다.

축소를 해보니 이런 모양이 있었고 다시 확대를 해보면 공덕에서 출발 한후 , 김포 국제 공항을 거치고 나서, 제주 국제 공항에 도착한것을 알 수가 있다.

GONGDEOK ,GIMPO INTERNATIONAL AIRPORT , JEJU INTERNATIONAL AIRPORT

GONGDEOK_GIMPOINTERNATIONALAIRPORT_JEJUINTERNATIONALAIRPORT 이게 답인줄 알았지만 답이 아니라고 뜬다.

구글 맵에 위도와 , 경도 값를 쳐봤다.

넣어봤더니 , 

동부 렌트카 옆에 세븐일레븐이 있었다,,

lat : 위도 , lon : 경도

-> 지표상의 특정 지점의 위치나 장소를 나타내기 위해 사용되는 좌표체계 ,,

구글 맵에 넣을 때는 (위도값 , 경도값) 요런 형식에 맞게 넣어야 한다.

세븐일레븐일줄은 몰라서, 진짜 힘들었던 문제인거 같았다.

Auth key :  GONGDEOK_GIMPOINTERNATIONALAIRPORT_7-ELEVEN

xcz.kr 사이트에서 비밀번호를 잃어버렸다고 한다.

다운로드를 받으면 

와이어 샤크에다가 옮긴후

xcz.kr라는 싸이트에서 비밀번호를 잃어버렸다고 하니깐 display filter에 http를 써준다.

패킷을 내리다 보면 874번째 패킷을 보면

IMZZANGHACKER 에 PW는 IDISLTE인것을 알수 가 있다

AUTH KEY : IDISLIE 

데이터의 표현

우리가 쓰는 컴퓨터는 0과 1을 사용하고 있다. 

데이터의 물리적 단위

실제로 사용 중인 물리적 장치에서 저장될 때 사용되는 단위로는 Bit가 최소단위로 사용된다.

최근 저장 장치가 발달하면서 용량이 증가하여 기가바이트 단위가 주로 사용된다.

물리적 단위

비트 :

binary digit의 약자

최소단위

0과 1로 이루어짐

쿼터 : 2bit

니블 : 4bit

바이트 : 8bit

워드 : 16bit

더블 워드 : 32bit

쿼드 워드 :64bit

데이터의 논리적 단위

디스크에 어떠한 집합체로 저장되는 것을 논리적 단위로 볼 수 있다. 이러한 특성 때문에 논리적 단위는 정보를 저장 및 처리하는데 사용한다. 논리적 단위의 내부는 물리적 단위로 구성되므로 물리적 단위에 대한 이해가 있어야 포렌식 분석에서 논리적 단위의 내부를 파악할 수 있다.

논리적 단위

필드 : 

여러 개의 byte나 워드가 모여 이루어짐

파일 구성의 최소단위

레코드(논리적 레코드) : 프로그램 내의 자료 처리 기본 단위

블록(물리적 레코드) : 저장 매체에 입출력될 때의 기본 단위

파일 : 관련된 레코드의 집합으로 하나의 프로그램 처리 단위

데이터 베이스 : 집합으로 계층적 구조를 갖는 자료 단위

빅 엔디안 과 리틀 엔디안

저장 장치에 저장될 때 크게 두가지의 방식으로 저장된다. 

리틀 엔디안

ex ) 0A0B0C0D -> 0D0C0B0A

빅엔디안

ex ) 0A0B0C0D -> 0A0B0C0D

빅 엔디안을 사용하는 시스템 : 마이크로프로세서, 네트워크상 통신 등등

리틀 엔디안을 사용하는 시스템 : 인텔 프로세서, 알파 프로세서 등등

빅 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다.

-> 0x5EA1

리틀 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다. 리틀 엔디안은 뒤에서부터 읽어준다.

-> 0xA15E

-> 10100001 01011110

시간 정보

시간 정보는 사건이 발생한 시점에 대한 행위를 파악할 수 있는 중요한 정보이므로 디지털 포렌식 관점에서 매우 중요한 정보이다. 또한, 분석 때에는 현지시각의 정보로 변환하여 분석하여야 한다. 

1) GMT

영국 런던에 있는 그리니치 천문대를 기준으로 한 평균 태양시이다.

서울은 동경 127도 표준 자오선을 가지지만, 시간은 동경 135도인 일본 표준시 JST를 사용하고 있다. 따라서, 현재 서울의 시간은 GMT + 9시간을 사용 중이다.

2) UTC

1972년 1월 1일 세계 표준시로 규정되었다. 

원자시를 사용하기 때문에 자전 주기와 무관하다. 따라서, 시간이 흘러도 시간이 변할 가능성은 거의 없게 된다. 

서울은 UTC + 9시간을 사용한다.

시간 정보 표현방식

1. MS-DOS Date / Time : 날짜와 시간을 각각 2byte씩 할당되어 총 4byte로 저장하는 방식으로 시간정보의 범위가 제한적이다.

시작시간 : 1980년 01월 01년 (00 : 21 : 00 : 00)

종료시간 : 2107년 12월 31일 23:59:58 (FF : 9F : BF : 7D)

힌트 1 : 외국어

힌트 2 : key 값은 대문자

nutantvictorantjackassowlantlambpighorseantbearelkturkey

이렇게 있다.

뭔가 사이사이 아는단어가 있어서 잘라서 읽어야 되지 않을까 라는 생각을 해본다.

그래서 이렇게 나눠서 한 단어씩 대문자로 넣어보았지만 틀렸다고 한다.

그래서 혹시나 하는 마음에 앞글자만 따서 대문자로 바꿔서 넣어보았더니 맞다고 한다.

AUTH KEY : NAVAJOALPHABET

다운로드 파일은 network_recover이라는 파일이다.

hxd로 열어 본 결과

헤더가 0A 0D 0D 0A인 파일이다. 이 파일은 pcapng 파일이다.

Pcapng 파일이란 ? 

pcapng 파일 형식은 기존의 pcap을 발전시킨 파일 형식이다. 추적 파일의 패킷과 추적 파일 설명 같은 메타데이터, 지역 인터페이스 세부 정보, 그리고 지역 IP 주소를 저장하는 기능을 갖추고 있다.

이 파일이 pcapng 파일이란 것을 알았으니까 확장자를 pcap로 바꿔줘야 한다.

그리고 wireshark로 열어주자

wireshark 란?

자유 및 오픈 소스 패킷 분석 프로그램이다. 크로스 플랫폼으로, Qt 위젯 툴킷을 이용하여 사용자 인터페이스를 제공하며, pcap을 이용하여 패킷을 포획한다. 리눅스 , 맥 OS X, BSD, 솔라리스를 포함한 다양한 유닉스 계열 운영 체제와 마이크로소프트 윈도에서 동작한다.

밑으로 죽 내리다 보면 98번째 패킷에서 XCZXCZ/index.html HTTP/1.1 이 보일것이다. 

그리고 114 번째 패킷을 보면 png 파일을 하나 GET 하는것이 보인다.

데이터를 한번 확인해보는것이 좋을 것 같아서 98번 패킷을 Export Objects > Http를 눌러주고 폴더를 지정해 저장을 하였다.

파일은 총 6개가 주어진다

%5c , favicon , index , treasure1, treasure2, treasure3

treasure1, treasure2, treasure3 세 개의 파일이 중요한 것 같다

hxd 에 treasure1을 넣어보았다. 

treasure1 은 png 파일인 것 같다.

treasure1의 푸터는 

없었다...

png HEADER는 89 50 4E 47 0D 0A 1A 0A ,

FOOTER는 49 45 4E 44 AE 42 60 82이다. 

treasure2 파일을 보자

treasure2 파일은 헤더와 푸터가 없는 것이 보인다.

treasure3 파일은

header는 없었지만 footer는 없었다. 아마 파일 한 개가 세 개로 분리된 게 아닌가 싶었다.

그래서 하나로 합쳤다.

합치게 되면 NET\oRK1sFun이 나온다.

하지만 이것을 md5으로 바꾼뒤 소문자로 한번 더 바꿔주면

2f4a11572d9ff67baebdb2f3899d7a84 이것이 나온다.

md5란?

md5는 128비트 암호화 해시 함수이다. RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다.

http://www.convertstring.com/ko/Hash/MD5

다운로드를 하면 이런 mp3파일이 나온다. 

이런 파일을 디코드 하라고 한다.

스테가노그래피에서 툴은 몇 가지 있지만 대표적인 툴은

OpenStego , OpenPuff 2가지가 있다.

그래서 툴을 OpenPuff을 사용하라는 것을 바로 알았다.

밑에는 OpenPuff를 다운로드하는 링크다

https://embeddedsw.net/OpenPuff_Steganography_Home.html

다운로드하면 이런 화면이 뜨는데 디코드를 해야 되니까 Unhide를 눌러준다.

이런 화면이 뜬다.

힌트를 하나밖에 모르기 때문에 Enable b와 c를 체크 해제를 시켜주고 

A에다가 OpenPuff를 넣어준다.

그리고 Add Carriers에다가 아까 다운받은 음악파일을 넣어준다.

그리고 Bit selection options - Mp3 (Audio) - 1/8(12%) - Minimum

Auth key : OPEN_ChronoTrigger1995_PUFF

파일을 다운받아보면 

이렇게 엑셀 파일이 나온다. 하지만 들어가 보면 암호가 걸려져 있다.

이미 TITLE 에 나와있든이 브루트 공격을 해야 하는 것임을 예상했다. 

그래서 FreeWordExcel 을 사용했다.

http://www.freewordexcelpassword.com/

Select a password protected file 에다가 다운받은 파일을 넣은후

Brute Force Attack 을 눌러주고 나서 , next 를 눌러주면 

암호가 ex72인걸 알수가 있다. 

그러면 엑셀 파일 안에 들어있는 내용은

key 1s 6r6t3f0r7e 이기 때문에 

AUTH KEY 는 6r6t3f0r7e 이다.

저 사진을 자세히 들여다 보면 가운데에 이상한게 있다

그림판에다가 옮긴후 확대를 해본 결과

이런게 있었다. 

이 문제는 RGB 코드를 읽을 수 있냐 없냐 그 문제인 거 같았다.

그래서 하나하나씩 알아보았다.

113 145 171 40 151 163 40 143 157 154 60 122 103 60 114 50 51 162 가 나온다.

ASCII 코드 인줄 알았지만 아니었다.

이건 8진수 이기 때문에 8진수를 텍스트로 변환해주는 걸 사용하면

Key is col0RC0L()r 가 나온다.

https://www.browserling.com/tools/octal-to-texthttps://www.browserling.com/tools/octal-to-text