-
2016 HDCON 사고분석 1-1 문제Hack/No filtered 2020. 4. 6. 09:20
문제 : 손상된 압축파일을 복구해서 압축파일의 MD5를 찾아라
1) 손상된 파일
2) 복구 완료된 파일
3) 압축파일 내 포함된 python 스크립트 (사고분석용 스크립트로 확인됨)
문제풀이
1. recme.zip 파일 내에 파일 시그니처 확인 불가
2. zip 파일 포맷의 특성을 파악해보니 Central Directory의 Header와 Local Header의 숫자가 같아야 하는데 Local Header가 누락되어 일어나는 현상으로 추측
3. Central Header의 시작위치와 Central Header Offset 값의 차이가 0x28 만큼 차이남을 확인하였으며 이는 Local Header 중 파일명을 포함한 사이즈와 동일함을 확인함
4. Central Header를 참고하여 Local Header를 복구
5. 압축파일의 MD5 값을 제시함으로써 문제풀이 완료
* 압축파일 내에 Begging.py 라는 사고분석용 python 코드가 들어있었으며 자세한 부분은 파일첨부 참고반응형'Hack > No filtered' 카테고리의 다른 글
Active X 취약점 점검 방법 (with powershell) (0) 2020.04.06 openvas 설치 및 사용법 (0) 2020.04.06 악성코드 감염 분석 TIP (0) 2020.04.06 Office 악성파일 탐지 (0) 2020.04.06 자바스크립트 난독화 이해 입문 (0) 2020.04.06