이제 와서 예선 문제 풀이는 뒷북이지만, 그래도...그냥 -_- 기록 해둘겸..
포렌식 문제도 있고, 막연한 연모의 감정이 있어, 짬이 날때 틈틈히 풀어봤다.
지난번 코드엔진때 바이너리 설명 해주시는거 보고 근거없이 자신감도 돋고 해서...-_-;
참고로 너무 늦은 후기인 관계로 굉장히 짧은 소감 정도 정리로...
자세한 풀이를 보고 싶으시면 고수이신 프로니어님 블로그를 보시면 될듯 굉장히 상세하고
기술적으로 깊게 풀이 하셨다. 역시 대단...
■ 100
일단 모든 문제의 시작은 주어진 파일 확인부터-_- 디스크 이미지라서 그냥 붙였다.
그랬더니 파일명이 key라고 있... 뭐 이딴 문제가-_-ㅋ
삭제되고 사이즈가 0이라서 혹시나 싶어 MFT 가서 파일명으로 검색 ㄱㄱ, 역시 Resident Data 헐...
의외로 쉽네 하면서 이때까진 웃었었다..엌
그전에 스트링 했었는데 결과가 안나왔던건 문자 코드 값이 달라서 안나왔던듯..
※ 요건 resident data 참고
■ 200
주어진 파일 풀고 풀다보면 그림 파일이 무진장 나온다. 그래서 열어봤더니...
위와 같은 형태의 그림이 다수...몇개 넘기다 보니 이거 OHP에 출력해서 결과 보면
답이 나올 기세...
포토샵으로 레이어 합치기 하면 될꺼 같은데...자동화 할줄 몰라서 그냥 패스...
다른 분들 풀이 보면 특정 툴을 쓴것도 있고 파이썬으로 이미지 라이브러리
붙여서 코딩 간단하게 해둔것도 있던데 그 방법이 참 깔끔 했던듯...
아무튼 풀다 기브업-_-;
■ 300
이게 껄쩍지근했는데..일단 시작은 좋았다. 오피스 파일이라 열었더니...
이렇게 속성의 메타데이터로 시작한 base64 문자열이 곳곳에서 발견-_-;
디코딩해서 파일 보면 또 있고...헐...
파워포인트안에 있는 엑셀에도 base64랑 이유 모를 data값..-_-음 디코딩 하면서 확인했던
사진들과 기타 정보들을 잘 못엮었는지 중간에 포기.. 게다가 마지막 시트의 url은 접속이 끊겼더라는..-_-
역시 너무 늦게 풀었어 ㅠ_ㅠ 그냥 그게 답이겠거니 했는데, 나중에 답을 확인하니 어처구니 없더라는...
이런건 진짜 못풀듯... 역시 데프콘 수준이 높다...ㄷㄷ
어쩌면 중간에 봤었던 그림들과 문자열들이 내가 이해 못했던 어떤 암호가 있었던 걸지도...
아무튼 이게 제일 오래 걸렸다. 딴건 정말 간단간단 하게만 접근하고 안되면 말자 였는데...이건
질질 끌고 가서-_-; 근데 300이랑 500이랑 바꿔야 하는거 아닌가 싶다.
■ 400
문제들이 다 key를 찾으라고 하던데 이놈은 blank가 뭐냐고 묻고 있길래...
설마 하는 마음으로 언더바 3개'___'정도로 서칭을 했더니 진짜 걸렸다-_-;;
뭐가 아닌거 같은데...그냥 구글링 해보니 덜컥 풀렸.. 그래 뭐 이런 경우도 있어야지...
300풀면서 빡친 머리 식히라고 낸 문제 같다.
■ 500
개인적으론 500이 제일 느낌이 좋았다. 이것저것 찾아보느라 시간도 적당히 들었고 음...
일단 마찬가지로 대충 파일 풀면서 접근하다보면 frontdrive.dd랑 backdrive.dd가 나온다.
파일명 보고 'RAID 문제네~'했지만... dd 이미지 두개를 어떻게 해야 할지..난감.-_-;;
여기서 공부를 제법 했는데, 둘다 losetup으로 루프백 장치 돌려서 어떻게 붙여 보려고도 하고
코드로 그냥 붙이는걸 만들어볼까도 하고...이것저것 고민하다가 아무리 해도 dmraid가 제일
편해보였다. 근데 이상하게 루프백 걸어도 장치로 인식을 못하고 삽질만 하다 피곤해서 자려고
누웠다가 '어차피 가상머신인데 그냥 붙이면 되나?' 이러다가 그걸 해보고 싶어서 뒤척거리다가
잠을 설치고-_- 다음날 퇴근해서 바로 해봤다. (내가 오덕이라 이런게 아님)
먼저 Pro Discover 메뉴중에 이미지 형식 컨버팅 하는게 있어 이걸 사용해서 VMDK 파일 만들고
그걸 VMWare 디바이스 편집에서 '기존 디스크 있음'으로 붙였다.
그래놓고 부팅했더니 -_- 자동으로 RAID 활성화... 헐 우분투 역시...주인의 마음을 파싱 하다니
덕분에 수고를 덜었다. 이걸 마운트 해서 볼 수도 있지만,
마운트를 해제 시키고 그냥 Autopsy로 봤다.
실제로 운영 중인 이미지가 아니라서 의외로 볼 것이 없었다.
하나 하나 뒤적 거리다가 skype 폴더에서 다운 된 파일이 하나 확인 했는데
암호를 물어보고 있더라.퉷! 좀더 뒤져보니 SQLite 형식의 로그 확인 후에
윈도우로 옮겨와서 브라우져로 봤다. 파일 전송하고 뻘소리 하더니 유투브 URL 몇개
던지면서 보라고 하고 또 뻘소리...근데, 받은놈이 bad link 어쩌다가 open 드립..
유투브 URL 다 눌러보려고 잘라 내서 붙였더니 길이 안맞는게 2개-_-;;;
하나씩 넣어보다 안되서 붙여 넣으니 압축 해제 ...잌
이번 주에 퇴근 후 2,3시간씩 계속 봤는데, 나름 좋은 경험이었다. 정리 해보면
내수준에 딱맞는 100, 다시나와도 안풀 200, 다시나와도 못풀 300,
다시나오면 좋을 400, 적당히 재밌었던 500 이였다.
대회용 문제는 처음 풀어봤는데 시간되면 몇개 더 구해서 다른것도 풀어 봐야겠다. 기왕이면
기간에 풀어보고 싶긴한데...업무 돌아가는 거랑 뭐가 맞을리가 없을듯-_- 지난번 real-forensic도
풀다가 한두달 순식간에 지나가고..; 흠...
문제 풀고 프로니어님꺼 답이랑 맞춰봤더니 난 엄청 날림으로 풀었다는 헐... 다른 사람들 답을 몇개
보니 공부가 많이 됐다. 그나저나 SIFT 잘 패키징 된듯...뭐 새로 설치하고 할것이 없었다.
뭔가 EnCase 쓰면 반칙? 같은 느낌 때문에 프리웨어 위주로 푸는걸 염두해뒀다. 게다가 SIFT도
익숙해질겸 그쪽으로 ㅋ 계속 encase가 아쉬웠지만 꾸역 꾸역
익숙해질겸 그쪽으로 ㅋ 계속 encase가 아쉬웠지만 꾸역 꾸역
아직 안푸신 분들 있으시면 풀어보세요 전 자세한 내용을 안써서 도움도 안되실꺼임.
할께 많았는데 이러고 나니 삶이 긴박해졌다는 읔ㅋ
딴 도메인도 풀어보고 싶긴한데 영 시간이 안난다.하는건 없는데 시간이 왜 모자란지...-_- 이상한듯
태그 : 삼복더위에추리소설대신
덧글
CodeEngn 2010/08/01 14:27 # 삭제 답글
오.. 늦은 후기이지만 ㅋㅋ요점을 잘 분석하셨네요 :)
데프콘 문제들이 대부분 이런 스타일임 ;;
용기백배 2010/08/03 13:17 #
넘 어려운거 같아요ㅋ 눈에 잘 안들어옴 관점이 제가 하고 있는 업무랑 많이 다르기도 하고@_@;;ㅋ