Ovu stranicu je najbolje pregledavati u modernom internet pregledniku s omogućenim JavaScriptom.

[RACFOR] Završni ispit - 2021/2022

in1

Prema onome što se nalazi u zip datoteci:

…za očekivati je da su zadatci iz cjelina:
1) Mrežna forenzika
2) Forenzika radne memorije
3) Forenzika datotečnih sustava


blablajar

kako ste u labosu za forenziku digitalnih dokumenata dobili rjesenja nakon sto ste odredili ekstenzije datoteka?


janeromero

  1. otvaram datoteku1 u HxD editoru –
    Vidim da se radi o PDF datoteci i kada promijenim tip u pdf, vidim da se u njemu nalazi slika cookie monstera - CTRL+A copy i paste u notepad i nasla sam rjesenje (pise iza slike il negdje u wordu)
  2. Ova datoteka je tipa OOXML . stavljam nastavak na .doc, otvaram i vidim :
    Congratulations !!!
    Answer: 141
  3. Opet .doc koji se sastoji od 3 slike, zec, žirafa i konj. Ovaj doc sam unzipala i nasla extra sliku s rjesenjem
  4. PNG – slika slova – one of those things is not like the other – otvorim sa notepadom i pise kod negdje unutra
    za 5 nisam zapisala i ne sjecam se😔

nickname

Serial Number Q5U4EX7YY2E9N Nemam ni ja zapisano ali mislim da se unzipa i dobije se text dokument di piše odgovor


n_p_zagi

zna li netko prvi zadatak pod d) i drugi zadatak pod b)?


wesley

gdje će stavit riješenja? pisalo je da će stavit link na moodle nakon zavrsetka ispita, al ga ne vidim nigdje


wesley

sto je trebalo promijenit u usb_dribe.raw file na završnom ispitu? koji broj je bio krivo zapisan u mbr ili superbloku?


garica

wesley block size u superblocku


wesley

garica dođem do superblocka, al mi je tamo block size 00 00 00 00? to mi je na offset 24 bajta
od početka superblocka


wesley

ima neko pitanja koja su bila na zavrsnom, maknuli su s moodle-a


blablajar

wesley

Forenzika diskova (Datoteka za rad: usb_drive.raw)

  1. Ispitajte prvu particiju (NTFS, ime “MY 80MB USB”):
    a) [5] Pronađite i otvorite datoteku welcome.png kako bi pronašli rješenje ovog zadatka.
    b) [10] Osumnjičeni je sastavio dokument s listom radnih zadataka (list.docx) – pronađite njegovo ime u metapodacima datoteke.
    c) [10] Pronađite obrisanu slikovnu datoteku u GIF formatu.
    d) [20] U jednoj od slika iz pictures direktorija skriveno je rješenje. Pronađite ga.
  2. USB sadrži još jednu particiju koja je trenutno nečitljiva. Radi se o ext2 particiji s neispravno navedenom veličinom bloka u superbloku. Izračunajte ispravnu veličinu bloka i popravite particiju.
    • Savjet: ovo ste već radili na laboratorijskoj vježbi – iskoristite veličinu particije iz MBR-a i broj blokova iz ext superbloka kako biste izračunali veličinu bloka.
    • Savjet: nakon što ste popravili particiju, ponovno ju učitajte (import) u Autopsy (zatvorite trenutni case, stvorite novi case) tako da Autopsy može ispravno detektirati popravljeni datotečni sustav.
    Nakon što ste popravili particiju, riješite sljedeće zadatke:
    a) [30] Pronađite datoteku hello.txt – putanja do datoteke će sadržavati rješenje.
    • Primjerice, putanja može izgledati ovako: /neki_dir/a/n/s/w/e/r/½/3/neki_drugi_dir/hello.txt
    • Uklonite znakove „/“ iz putanje i predajte dobiveno rješenje
    • I u ovom primjeru, konačno rješenje koje predajete je oblika answer123
    • Time ujedno pokazujete i da ste uspješno popravili particiju, jer možete čitati hijerarhiju datoteka.
    b) [15] Datoteka note.txt je vrlo mala, ali i dalje zauzima jedan cijeli blok u datotečnom sustavu. Rješenje je skriveno u nekorištenom dijelu bloka – pronađite ga.
    • Savjet: kao što je rečeno na predavanjima, sve datoteke su pohranjene u cijelom broju blokova u datotečnom sustavu. Datoteka note.txt je mala, ali svejedno zauzima cijeli blok (veličina kojeg je 1024, ili 2048, ili 4096, ili … bajtova)
    RAM forenzika (Datoteka za rad: ram_dump.dmp)
  3. Ispitajte ram_dump.dmp datoteku:
    a) [15] Na računalu je bio pokrenut jedan proces sumnjivog imena. Otkrijte ime tog procesa (ime procesa je oblika answerXYZ kao i sva ostala rješenja).
    b) [30] Osumnjičeni je čitao elektroničku poštu na Web stranici u svom Web pregledniku – pronađite što je pisalo u poruci.
    c)
  4. Osumnjičeni je kopirao lozinku za zip arhivu (koja će biti dostupna kasnije u zadatku 4.b). Lozinka je u trenutku zapisivanja slike memorije bila pohranjena u clipboard – pronađite ju.
    • Savjet: tražite 16-znamenkastu alfanumeričku lozinku koju ćete trebati kasnije u zadatku 4.b) za otključavanje zip arhive
    • Savjet: rješenje ovog zadatka nije u obliku answer123 i ovaj zadatak sam za sebe ne nosi bodove nego je samo nužni korak za rješavanje jednog od nadolazećih zadataka u kojem ćete ostvariti bodove
    Mrežna forenzika (Datoteka za rad: network_dump.pcap)

  5. Ispitajte pakete prikupljene u network_dump.pcap datoteci:
    a) [10] Osumnjičeni se povezao na bind shell na računalu koje je napao i pomoću njega je pročitao povjerljive informacije na računalu. Pronađite informacije koje je pročitao.
    b) [30] Osumnjičeni je preuzeo ZIP arhivu zaštićenu lozinkom. Izvadite tu arhivu iz snimke paketa i otključajte ju lozinkom koju ste pronašli u zadatku 3.c)
    • Napomena: kako biste riješili ovaj zadatak morate najprije riješiti zadatak 3.c)

garica

wesley Moguce da je, moras ga onda promijeniti u koliko bi trebao biti, tj. u (velicina_particije - superblock velicina) / broj_blokova.

Btw, studosi imaju i git repozitorij 🤭


wesley

garica hvala!!!!!!!!!!!!!!!!!!!!!!!!!!!!


wesley

zadatak - popravak particije za .raw file
nesto jos krivo radim tako da ako neko vidi gresku u postupku neka napise

  1. offset 446 + 8 bajtova da očitam početak particije -> dobivam 163840 * 512 za početak particije
  2. dođem do početka particije -> tamo mi je superblock -> prva 4 bajta su inode broj, druga 4 su block count i to pročitam i dođe mi: 54 46 53 20 (HEX) = 542328404 (DEC)
  3. veličina particije je na offset 446 + 12 bajtova -> 00 08 00 00 (HEX) = 2048 (DEC) -> veličina particije je 2048 * 512
  4. veličina pojedinog bloka je zapisana kao 00 00 00 00 -> to je veličina 210

i sad s tim informacijama računam: (163840 * 512) / 542328404 = 0.155

a to nije moguca velicina jednog bloka? sto je krivo?


wesley

wesley krivo sam napisala tu brojeve, al je na slikama ok oznaceno


blablajar

wesley ja sam to rijesio tako da sam gledao drugu particiju - 16 bajtova nakon tog sto ti je oznaceno plavom bojom


Process

Kako se treba riješit 3. pod b)?


Process

Process

Točnije, kako se trebaju riješit 2. i 3. pod b)?

Našao sam referencu na hidden.txt unutar bloka gdje je note.txt, no ne znam kako doći do sadržaja.


renren

Process
2.b) ako se doro sjećam, pronađeš note.txt u autopsy-u, kopiras hex zapis i onda odeš u hex editor i ctrl+f da nađeš dio tog zapisa u njemu. Onda kopiraš čitav blok, odeš na https://tomeko.net/online_tools/hex_to_file.php?lang=en, zalijepiš, skineš datoteku, pretvoriš je u zip i onda otvoriš i nać ćeš hidden.txt i unutra odgovor

3.b) bi trebalo s yara naredbom moć kao u labosu, s tim da se postavi u njoj $secret = “secret”. Bit će duži ispis, ali odgovor će bit rascjepkan jer su pojedinačni znakovi unutar bold tagova npr. <b>a</b><b>n</b><b>…