Study/Security
CTF. FORENSIC - Special Event
사이버공격방어대회(CCE) 예선 문제 중 forensic 문제를 하나 풀어보았다. 1. 문제 파일 다운로드 및 해석 - 문제 파일은 .evtx로 되어 있었다. - linux에서 file 명령어를 활용하여 해석한 결과 MS Windows Vista Event Log 라는 것을 알았다. 2. 이벤트 로그 분석 - windows에서 해당 파일을 열어본 결과 cmd를 실행한 로그를 발견하였다. - 난독화가 되어있으며 난독화 패턴이 주어졌다. - python을 활용하여 난독화 패턴을 txt 파일로 받았을 때 해결하고자 하는 문자열 입력받고 치환하는 코드를 구성했다. def create_dictionary_from_file(file_path): pattern_dict = {} with open(file_path, ..
