보안맨

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. 이번 문제는 랜섬웨어에 감염당한 시스템의 이미지를 분석하는 것이다. 문제파일로 주어지는것은 cce_final_mission_7_8.img 파일이다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양..

디스크 포렌식 문제 문제 설명을 읽어보면 주어진 파일을 고쳐서 플래그를 달라고 한다. 주어지는 문제파일은 Corrupted.001 파일인데 확장자가 001인 파일은 디스크 이미지 파일이다. 이렇게 다운받으면 압축파일로 인식이 된다. 보통 이런 001 파일은 바로 압축을 해제하지 않고, 전용 프로그램을 이용해 살펴본다. 무료도구인 FTK Imager 를 사용해본다. (https://accessdata.com/product-download/ftk-imager-version-4-5) FTK Imager를 실행시켜서 lmage File을 선택해준다. 그런다음 주어진 Corrupted.001 파일를 선택해주고 Finish 버튼을 눌러주면 된다. Corrupted.001 파일을 열어보면 말 그대로 파일이 깨졌기 때..