#include <sys/socket.h>

あとで書く Twitter:@sys_socket

Magnet User Summit CTF 2019 WriteUp [Mobile]

Magnet User Summit 2019

Magnet Forensicsというフォレンジック製品などをやっている企業のサミットが2019/04/02~2019/04/03に行われていました。

https://magnetusersummit.com/

Twitterで「#mus2019」で検索すると現地の様子がなんとなく分かりそう。発表スライドとかもあったりする。

https://twitter.com/search?q=%23mus2019

今回も、以前のDFIR CTFのようにMagnet User Summit CTF 2019として開催されていたものが、公開されていたのでやっていきの記事です。 AXIOMの使い方を学ぶ的な問題。

Hacking Exposed Computer Forensics Blog Daily Blog #657 MUS2019 DFIR CTF open to the public : https://www.hecfblog.com/2019/04/daily-blog-657-mus2019-dfir-ctf-open-to.html

Magnet AXIOMという有償のフォレンジックツールが2019/05/04までのトライアルのキーがついて使用することができてすごい。 せっかくなので使ってみる感じで、頑張ってAXIOMだけでとりあえずやっていきます。

https://www.magnetforensics.com/products/magnet-axiom/

「Mobile」カテゴリはモバイルフォレンジック的な感じの問題で、Android端末のデータを取得したケースが与えられてそれについて質問していくという感じです。

やっていきましょう。

続きを読む

BLE CTF WriteUp

はじめに

昨年2018年のDEF CON 26 WIRELESS VILLAGEで発表された@hackgnar氏のBLE CTFをやってみるという話。

hackgnar - Learning Bluetooth Hackery with BLE CTF

http://www.hackgnar.com/2018/06/learning-bluetooth-hackery-with-ble-ctf.html

ble_ctf_ A Bluetooth low energy capture the flag https://github.com/hackgnar/ble_ctf

READMEに書かれているように、このCTFを実施するには、手元のコンピュータだけでなくESP32-DevkitとBluetoothドングルが必要になる。

私の今回の環境は以下

ESP32-DevkitC V4
エレコムのよく分からんBluetooth USBアダプタ

ESP32ビルド環境
macOS Mojave version 10.14.3

端末(ThinkPad X220)
Kali Linux

f:id:socketo:20190221011136j:plain

続きを読む

Defcon DFIR CTF 2018 # Image2 - FileServer WriteUp

はじめに

以下の記事の続き.

socketo.hatenablog.jp

ディスクイメージの容量が大きくて削除したいので供養(すべて解けていないので誰か教えてください状態)

続きを読む

Defcon DFIR CTF 2018 # Image1 - HRServer WriteUp

はじめに

インターネットを眺めていたら,Magnet Forensicsが開催していたDFIRのCTF「Defcon DFIR CTF 2018」が公開されていたのでやった話(全部は解けていない)

Hacking Exposed Computer Forensics Blog Daily Blog #451 Defcon DFIR CTF 2018 Open to the Public : http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html

Defcon DFIR CTF 2018 : https://defcon2018.ctfd.io/challenges

対象イメージファイル

実際に調査するイメージファイルは以下のブログのDropboxのリンクからImage1,Image2,Image3と3つダウンロードできる.

http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html

Image1.7zのパスワードは書いてあるので,それを使う.

Image2.7z,Image3.7zのパスワードはCTFの問題を解いていくと分かる.

やっていったら長くなったので,Image2とImage3については今後書く予定です.

続きを読む

Digital Forensic Challenge #2 - User Policy Violation Case Write up

本投稿の内容に間違いや問題などありましたら,Twitter経由などでやんわり優しめに教えて頂ければ幸いです.(Twitter:@sys_socket)

恐らく何かしら間違ってたり,足りなかったりします.多分. 誰か教えてください.

はい.

https://www.ashemery.com/dfir.html のChallenge #2

Case1はこちら Digital Forensic Challenge #1 - Web Server Case Write up - socketo.hatenablog.jp

問題文

This is another digital forensics image that was prepared to cover a full Windows Forensics course.
System Image: here
Hashes: here
Password = here
You can use the image to learn the following:
File Carving, Custom Carving, and Keyword Searching
File System Forensics - NTFS
Deep Windows Registry Forensics: System and User Hives
SYSTEM
SOFTWARE
SAM
NTUSER.DAT
USRCLASS.DAT
Other Windows Files: LNK, Jump Lists, Libraries, etc
Application Compatibility Cache (ShimCache)
Analyzing Windows Search (Search Charm)
Analyzing Thumb Caches
Analyzing Prefetch Files
Analyzing Recycle Bin(s)
USB Forensics
Events Analysis
Email Forensics: Web and Outlook
Browser Forensics: Internet Explorer and Google Chrome
Skype Forensics
This image covers most if not all of the recent system artifacts that you might encounter. Let me know if you need any help or if you are an instructor and want the answers to each part of the case. I will only send the answers to verified instructors.

Due to lots of requests, I have decided to compile a manual or a book for the second image with Q&As to help you go through the challenge and solve every part of it. URLs and further explanations will be provided very soon. Stay tuned my friends and happy hunting ;)

このイメージで以下のことが学べるらしい

  1. ファイルカービング,カスタムカービング,キーワード検索
  2. ファイルシステムフォレンジック - NTFS
  3. Deep Windows レジストリフォレンジック:システムとユーザのハイブ
  4. その他のWindowsファイル:LNK,ジャンプリスト,ライブラリなど
  5. ShimCache
  6. Windows検索の分析
  7. Thumbキャッシュの分析
  8. Prefetchファイルの分析
  9. ゴミ箱の分析
  10. USBフォレンジック
  11. イベント分析
  12. 電子メールフォレンジック:WebとOutlook
  13. Webブラウザフォレンジック:Internet Exploler, Google Chrome
  14. Skypeフォレンジック
続きを読む