Finde the cat (Part 9)
Продолжим разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018
Тем, кто пропустил что-то, задач было 11: Brain, Finde the cat, FTP-authentication, Reversing Python, Steganography 2, Steganography 3, Steganography 4, Steganography 5, WTFilee, Command & Control, Command & Control2
Скачать
Итак, по легенде: «Задание:Find the cat
Points: 15
Описание: Кошек президента похитили сепаратисты. Подозреваемый с USB-ключом был арестован. Необходимо проанализировать этот ключ и выяснить, где находятся кошки.
helfrantzkirch…»
Одно из самых приближенных к реальной жизни заданий по форензике. Осталось вспомнить все то, чему учили в EC-Council, когда учили CHFI.
Итак, мы имеем файл chall9 размером 131 мегабайт. По обыкновению смотрим текстовиком чтобы понять с чем мы имеет дело:
Это имидж или дамп памяти, в форензике первоистественное приложение для работы со слепками это
В состав пакета AccessData Forensic Toolkit входят программные средства:
Я проверил все интересные файлы pdf, doc, jpg, png - а котенка все нет. Зато были обнаружены интересы хозяина флешки, он смотрел информацию об iPhone 4S, книги на Amazon, информацию об Эльзасской Советской Республике и о регионах Франции, а так же использовал в качестве продукта по работе с офисными файлами - LibreOffice.
В основных файлах находим геоданные и IP-адрес 78.236.229.52 и начинаем анализировать:
и находим информацию
Проанализировав Base64 изображенния, понимаеш что это статья с Википедии, прямых улик не находим и продолжаем анализировать дальше...
Были проверены так же удаленные файлы
Среди имеющихся папок и файлов ничего интересного не найдено, давайте проверим неразмеченную область, мб там будут какие то улики
В файле 015426 видим начало 50 4B 03 04, а это господа вероятнее всего
Экспортируем и проанализировав находим котенка
Мы догадываемся, судя по тому, что снимок сделан с помощью iPhone - должны быть геоданные снимка и находим их:
Примерно так происходит и в реальной жизни...
Почти все представленные задачи можно выполнять самостоятельно, находить новый инструментарий, ну и по секрету скажу, большую часть этих задач можно найти на root-me и Вы уже знаете как их выполнять. Скажу сразу, я не всю форензику и далеко не все стеганографические изыскания на указанном ресурсе выполнил и очень хотел бы с Вами их разобрать. В рамках нашего форума codeby.net была создана
Тепрь друзья пробуйте сами...
Продолжим разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018
Тем, кто пропустил что-то, задач было 11: Brain, Finde the cat, FTP-authentication, Reversing Python, Steganography 2, Steganography 3, Steganography 4, Steganography 5, WTFilee, Command & Control, Command & Control2
Скачать
Итак, по легенде: «Задание:Find the cat
Points: 15
Описание: Кошек президента похитили сепаратисты. Подозреваемый с USB-ключом был арестован. Необходимо проанализировать этот ключ и выяснить, где находятся кошки.
helfrantzkirch…»
Одно из самых приближенных к реальной жизни заданий по форензике. Осталось вспомнить все то, чему учили в EC-Council, когда учили CHFI.
Итак, мы имеем файл chall9 размером 131 мегабайт. По обыкновению смотрим текстовиком чтобы понять с чем мы имеет дело:
Это имидж или дамп памяти, в форензике первоистественное приложение для работы со слепками это
Ссылка скрыта от гостей
— программное обеспечение для проведения компьютерных экспертиз, обеспечивает анализ дампа оперативной памяти, использует мощный инструмент поиска, осуществляет архивацию данных и проводит полное исследование компьютера в рамках судебной экспертизы.В состав пакета AccessData Forensic Toolkit входят программные средства:
- Forensic Toolkit – программа с мощной системой поиска для проведения комплексной компьютерной криминалистика.
- Oracle Database – встроенная база данных
- FTK Imager – программа для создания образа диска
- RegistryViewer – программа для анализа реестра
- KFF – библиотека хэшей (более 45 млн. хэшей)
- Password Recovery Toolkit – мощное программное средство для восстановления паролей более 100 приложений
- DNA (Distributed Network Attack) – программный продукт для повышения производительности при восстановлении паролей, позволяющий использовать компьютерную сеть
- Licence Mamager – сервисная программа для контроля состояния лицензий
Ссылка скрыта от гостей
.
Я проверил все интересные файлы pdf, doc, jpg, png - а котенка все нет. Зато были обнаружены интересы хозяина флешки, он смотрел информацию об iPhone 4S, книги на Amazon, информацию об Эльзасской Советской Республике и о регионах Франции, а так же использовал в качестве продукта по работе с офисными файлами - LibreOffice.
В основных файлах находим геоданные и IP-адрес 78.236.229.52 и начинаем анализировать:
и находим информацию
Проанализировав Base64 изображенния, понимаеш что это статья с Википедии, прямых улик не находим и продолжаем анализировать дальше...
Были проверены так же удаленные файлы
Среди имеющихся папок и файлов ничего интересного не найдено, давайте проверим неразмеченную область, мб там будут какие то улики
В файле 015426 видим начало 50 4B 03 04, а это господа вероятнее всего
Ссылка скрыта от гостей
Экспортируем и проанализировав находим котенка
Мы догадываемся, судя по тому, что снимок сделан с помощью iPhone - должны быть геоданные снимка и находим их:
Примерно так происходит и в реальной жизни...
Почти все представленные задачи можно выполнять самостоятельно, находить новый инструментарий, ну и по секрету скажу, большую часть этих задач можно найти на root-me и Вы уже знаете как их выполнять. Скажу сразу, я не всю форензику и далеко не все стеганографические изыскания на указанном ресурсе выполнил и очень хотел бы с Вами их разобрать. В рамках нашего форума codeby.net была создана
Ссылка скрыта от гостей
по CTF, надеюсь в ней можно будет с разрешения администрации поразбирать... В рамках ресурса рутми я еще совсем новичек и для дальнейшего набора балов, требуется больше навыка, мастерства и стараний
Тепрь друзья пробуйте сами...
