보안일기

오늘은 파일시스템 중, NTFS에 대해서 알아보도록 하겠습니다. NTFS는 Windows NT 3.1 이후부터 현재까지 사용하고 있는 파일시스템입니다.크게 VBR, MFT, Data Area, 그리고 그림에는 표시되지 않았지만 Backup VBR로 이루어져있습니다.당연하게도 VBR 손상에 대비해서 복구하기 위한 영역이 Backup VBR입니다. 이제 하나씩 알아보도록 하겠습니다. 이 파티션(볼륨)의 정보를 담고 있는 공간입니다.Offset 크기설명3bytesJump command81bytesBPB(Bios Parameter Block)426bytes부트 코드2bytes시그니처 (0x55 0xAA로 고정)BPB는 볼륨의 전반적인 설정을 포함하고 있는 부분으로 VBR에서 중요한 정보들을 살펴볼 수 있습니다..

파일시스템 중 하나인 FAT 32에 대해서 알아보겠습니다. FAT는 File Allocation Table을 뜻하는 것으로 이런 FAT를 통해서파일 시스템을 구성한 것이 FAT32 파일 시스템입니다.FAT32는 File Allocation Table을 사용하는 파일시스템으로, 운영체제에 공통으로 이용할 수 있을 만큼 호환성이 좋다는 장점이 있습니다.주로 USB에 들어가는 파일시스템으로 이용됩니다. FAT32는 크게 Reserved Area, FAT area, Data area 이 세 부분으로 구성되어 있습니다.Reserved area는 Boot sector, FSINFO 등 또 세부 구조로 나눌 수 있습니다. 더 자세하게 구조를 알아보겠습니다. VBR이 위치하는 부분입니다. 32개의 섹터로 구성되어 있..

컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 하는 체계입니다.이와 관련된 개념으로 파티션, 볼륨이 있습니다.파티션 : 하나의 저장 장치 내의 공간을 분리해 독립적인 공간을 만든 것볼륨 : 하나의 저장 장치 내의 공간을 분리 + 파일 시스템을 갖춘 상황(드라이브라고도 부름)파일 시스템 정보 없이 데이터 저장 위치를 알아내는 것은 힘들다데이터 위치를 알아냈다고 해도, 메타데이터(쓰기 시간, 생성시간 등..)을 알아내기 위해서는 전반적인 파일 시스템의 구조에 대해 이해해야 한다.대부분의 파일 시스템의 경우 저널링 기능을 지원하는데, 이를 통해 파일 변경 이력을 알아내거나 삭제 파일을 복구할수도 있다 WindowsNTFS : Windows NT 3.1 이후부터 현재까지 사용하고 있는 파일 시스템...

보호되어 있는 글입니다.

https://dreamhack.io/wargame/challenges/1696드림이가 실습실에서 인터넷 검색을 하고 있는데..! 아니 잠깐..?갑자기 렉이 발생하기 시작했어요…! 왜 이러지..??음.. 이런.. 실습실 안에 있는 누군가가.. 장난을 치는 것 같네요..!평소 드림핵을 통해 정보보안을 공부한 드림이는 범인을 찾고자 하는데…과연… 드림이는 범인을 잡아낼 수 있을까요?★ Flag는 공격자의 IP 주소를 base64 Encoding 한 값 입니다.ex) 127.0.0.1 → bisc2024{MTI3LjAuMC4x} 문제 파일을 다운 받아보면 pcap파일이 있습니다. 패킷을 분석하라는 뜻인가봅니다.  9000번대쯤 패킷들을 확인해보면 TCP out-of-order, TCP Spurious Retr..

보호되어 있는 글입니다.

https://dreamhack.io/wargame/challenges/1673JPG 파일과 반딧불이가 사고가 나서 큰 충돌이 났다.충돌한 지점을 찾아서 flag를 제출해라. 드림핵 포렌식 워게임 문제입니다. 문제 파일을 다운받아보면 깨져있는 파일을 발견할 수 있습니다.  Steghide 돌려봐도 딱히 뭐가 없고, 파일 시그니쳐, 엔드 시그니쳐도 전부 완전한 것을 보니 파일 중간에 뭔가 숨겨진 모양입니다. 그래서 jpg 분석 툴인 jpegsnoop라는 프로그램을 다운받아서 분석해보았습니다jpg 구조별로 쭉 분석을 해주는데 0x1292 근처에서 자꾸 에러가 났다고 뜨네요 그래서 HxD를 켜서 0x1292 근처 오프셋의 값들을 확인해보았습니다. 해당 오프셋에 50 4B 03 04라는 PK 파일 시그니쳐가 보..

https://dreamhack.io/wargame/challenges/1189 문제설명디스크 이미지가 열리지 않습니다…!주어진 디스크 이미지를 복원하여 플래그를 구해주세요.-> 해당 문제는 드림핵 사이트에서 같이 하는 실습 과정도 있으니 참고하면 도움이 될 듯합니다! 과제 파일을 받으면 .E01이라는 이미지 파일을 받을 수 있습니다.E01 파일을 확인하려면 FTK Imager를 사용해야 합니다. 아래 링크에서 다운로드가 가능해요https://www.exterro.com/ftk-product-downloads/ftk-imager-4-7-3-81 FTK Imager 4.7.3.81Exterro for Law Enforcement Get a Demowww.exterro.com 이제 과제 파일을 FTK Ima..

https://dreamhack.io/wargame/challenges/303 FFFFAAAATTTFIXFIXFIX! FFFAAATTT! (문제파일 다운로드에서 받지 마시고, 아래의 링크를 통해서 문제파일을 다운받으시기 바랍니다.) 문제파일 : https://drive.google.com/file/d/17ESNJryAYuHa3M5GiBIb9r2JNhXLqKBa/view?usp=sharingdreamhack.io문제 설명FIXFIXFIX! FFFAAATTT!(문제파일 다운로드에서 받지 마시고, 아래의 링크를 통해서 문제파일을 다운받으시기 바랍니다.)문제파일 : https://drive.google.com/file/d/17ESNJryAYuHa3M5GiBIb9r2JNhXLqKBa/view?usp=sharing..

https://dreamhack.io/wargame/challenges/241 문제 설명드림이 : 우와! 밖에 눈이 많이와요!드림맘 : 그렇네~드림이 : 거의 모두 하얀공간뿐이네요. 요런 문제 설명과 함께 과제 파일이 있는데요파일을 열어보면 txt 파일과 jpeg 파일이 있습니다jpeg 파일은 눈사람만 있고 이외에는 딱히 육안상으로 힌트가 없어보였습니다. 그래서 우선 txt 파일을 HxD로 열어보았습니다.   DH{fake_snow}이런 플래그 형식과 함께 눈이 내리는 것 같은(?) 무수하게 찍힌 점이 있었습니다.열심히 검색 반복... 그 결과 해당 문제는 White Space 스테가노그래피를 이용하는 문제였습니다.  https://darkside.com.au/snow/index.html The SNOW..