Blog by yoonseo

1. 문제 2. 번역 당신은 산업 기밀 누설 사건의 심사관입니다. 검사를 하는 동안 의심스러운 보관 파일을 발견했습니다. 이 ZIP 파일은 다른 용의자에게 보낸 전자 메일에 첨부되었으며 다른 기밀 파일이 배포된 당시 작성되었습니다. 따라서 아직 맥락에서 확인되지 않은 정보가 포함되어 있다고 추정됩니다. 주어진 ZIP 파일에서 이 사건과 관련된 단서를 찾으십시오. Teams must : - 결론을 이끌어 내기 위해 사용된 도구를 모두 지정하십시오. - zip 파일의 구조, 찾은 내용 및 단계별 처리 방법 (압축된 비밀 JPEG 파일의 해시 값 포함)을 설명하십시오. 3. 나의 풀이 0) 문제 파일 준비, 010 editor 도구 설치 다운로드 링크: www.sweetscape.com/download/010..

암호화한 해시함수의 조건 A ≠ B 이면 h(A) ≠ h(B) 즉, 동일한 파일이라면 해시가 모두 같아야 하고, 다른 파일이라면 해시가 모두 달라야 한다. '충돌'이란? A ≠ B 인데 h(A) = h(B) 인 사례가 발견되는 경우를 말한다. 안전하다고 여겨지던 SHA-1 함수의 충돌 현상을 2017년에 구글에서 찾아냈고 , 이를 SHAttered 에 공개, 그리고 크롬과 여러 사이트에서 SHA-1의 지원을 중단하였다. 이와 관련하여, DFC 2020 (Digital Forensics Challenge) 에서는 SHA-1이 안전하지 않음을 깨닫게 하기 위한 문제로서 101번 "Same or Different?" 문제를 출제하였다. 해당 문제에 대한 풀이는 여기에서 볼 수 있다. SHA-1 충돌 사례 위에..

# 문제 # 문제 해석 (checker.pyc 파일에 담긴 내용) : SHA1로 해싱했을 때는 같은 값이, SHA2로 해싱했을 땐 다른 값이 나오는 두 값을 찾아, 이 두 파일의 각 SHA3-256 값을 구해 XOR 연산하여라. # 풀이 방법 1. checker.pyc 파일을 다운받아, 리버싱하여 .py 형태의 소스코드로 만든다. *이 때 내가 받은 파일이 올바른지 확인하기 위해 CyberChef 사이트에서 SHA256으로 해싱하여 문제에 명시된 값과 같은지 비교해보았다 * .pyc 파일을 리버싱할 때는 Uncompyle2 라는 도구를 사용했다. 2. 리버싱하여 얻은 소스코드를 해석해보면, SHA-1 해시는 같으면서 SHA-2 등의 다른 해시 값은 다른 파일을 찾으라는 내용임을 알 수 있다. 이 값은 S..

악성코드는 의도적으로 컴퓨터 사용자에게 피해를 주고자 만든 악의적인 프로그램을 총칭한다. 1. 컴퓨터 바이러스 : 생물학적 바이러스와 같이 컴퓨터(숙주) 내에 기생하여 활동하는 악성코드이다. 컴퓨터 바이러스는 활동 중에 자기와 동일한 것들을 복제하여 증식하고, 복제된 것들을 다른 곳에 퍼뜨리며 전염성이 강한 것이 특징이다. 컴퓨터 바이러스에 감염되면 이미 감염된 파일을 되돌리기는 어렵고, 파일을 삭제하고 원본 파일로 교체하는 작업을 통해서 원상복귀가 가능하다. 2. 트로이 목마 트로이목마는 겉보기에 유용한 프로그램으로 가장해있기 때문에, 사용자가 직접 설치하는 경우가 많다. 하지만 컴퓨터에 설치되고 나면 자료 삭제/정보 탈취 등의 악성코드를 실행한다. 주로 감염된 컴퓨터의 정보를 외부로 유출하는 것이 특..

이 악성코드는 Locky 랜섬웨어라고 알려져있으며, 자바스크립트 난독화를 통해 분석을 어렵게 한 것이 특징이다. 하지만 PyV8을 이용해 Python Native API를 작성하고 오류 메시지를 확인하면서 API를 보완해나가면 난독화된 랜섬웨어 코드도 분석이 가능하다. 이 프로젝트에서는 python dummy api를 작성해 난독화된 Locky 랜섬웨어 코드의 동작 원리를 분석해보았다. 악성코드 소스 https://github.com/ottl-seo/Malware_Project/tree/master/javascript-ransomware-nativeAPI GitHub - ottl-seo/Malware_Project: 2020-2 lab 과제 2020-2 lab 과제. Contribute to ottl-s..

자바스크립트 유형의 악성코드를 리버싱할 때, 난독화된 js 코드를 해석하고 실행하여 그 결과를 파이썬으로 전달해주는 프로그램이 PyV8이다. pyV8 설치는 이곳에서 자신의 컴퓨터 사양에 맞는 64bit/ 32bit를 선택해서 다운로드 하면 된다. code.google.com/archive/p/pyv8/downloads Google Code Archive - Long-term storage for Google Code Project Hosting. code.google.com 나는 제일 위에 있는 친구를 다운받았다. 설치가 완료되고 실행을 했는데, 파이썬2.7이 설치되어있지 않아서 오류가 나는 경우가 있다. 오류화면 캡쳐는 못했지만, 아래 부분에서 아무것도 안 넘어가면 오류가 난 것이다. (아래는 정상 ..