Digital Forensic Challenge


시나리오


피해자가 어느날 컴퓨터에 로그인을 하니 워드패드 실행 중이었고, “당신의 D드라이브를 암호화 하였다, 다음 계좌 xxx-xxxx-xxxx로 100만원을 입금하고, 010-xxxx-xxx로 문자를 보낸뒤, 아래 지도에 가보면 비밀번호가 있을것이다.” 라고 기재되어 있었다.

이걸 보고 너무 놀란 피해자는 그만 컴퓨터를 꺼버렸으나, 다시 컴퓨터를 켜보니 워드패드에 있던 내용은 하드디스크에 저장되어 있지 않았다.

다행히, 당시 네트워크 관리자가 외부에서의 원격접속을 감지하여 해당 패킷들을 저장해 두었다.


아래의 하드디스크 이미지와 네트워크 패킷을 다운로드 받아 다음 문제를 풀어서 2010.12.28까지 제출하세요.



1.     RC4에 사용되는 대칭키는 무엇인가?

2.     원격에서 입력한 키보드 입력값 중 전화번호는 무엇인가?

3.     클립보드로 전송된 내용 중 계좌번호는 무엇인가?

4.     클립보드로 전송된 그림(지도)를 복원하라

5.     암호화된 하드디스크내의 파일을 복원하라

6.     RDP replayer 를 만드시오


하드디스크 이미지 및 네트워크 패킷 데이터


데이터는 하드디스크의 이미지와 네트워크 패킷으로 구성되어 challenge 라는 디렉터리에 저장되어 있으며, 다음과 같이 분할 압축되어 있습니다.


  1. challenge.zip  (md5: b6e2867dac611e533539c9567273f83a)

  2. challenge.z01 (md5: 8db3ea18cfafa0ccef8a38e8b927b8d1)

  3. challenge.z02 (md5: 1db96b5dc811b281963fc555c06ef3ab)

  4. challenge.z03 (md5: 39a609e15ffc36d77f7b286c5e703cd4)

  5. challenge.z04 (md5: 99537cdd16c26c6df130321955b339c8)

  6. challenge.z05 (md5: 0a689bbc6e5c20761400c22edecdd27d)

  7. challenge.z06 (md5: e0114d138c273d109ef29a1e388a79ef)

  8. challenge.z07 (md5: e760b08a27ed8eb37a4786b7dcae1c80)

  9. challenge.z08 (md5: 5dbc2d81f554f3ea75433b4e3a12fb73)


파일을 다운로드 받아서 압축을 풀면 challenge 라는 디렉터리가 생성이 됩니다.




리포트 제출 방법


자유로운 양식으로 분석보고서를 작성하되 참가자의 이름, 이메일주소, 수신가능한 휴대전화번호, 위 문제에 대한 해답을 기재하고, 보고서를 작성하며 개발한 프로그램의 소스코드와 함께 ZIP으로 압축하여 단일 파일로 digitalforensic.kpia@gmail.com 첨부해서 메일로 보내주시기 바랍니다.

  1. 2010.10. 28(목)

10:00 AM


경찰수사연수원

대강당

제 1회 디지털포렌식 세미나