親記事 → CTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやん

ファイルフォレンジック

• よくわからないファイル、壊れたファイル、悪性なファイルが与えられて解析するタイプ
• ファイル毎にできることやツールがあるので、それを解析する技能を鍛える。ファイルごとにできることは結構決まっている
• 難しい問題ではファイルフォーマットをきっちり理解して解く必要がある。仕様書を読み漁ること
  • 簡単な問題では、ファイルからデータを適切に抽出できますか？
  • 難しい問題では、フォーマットを理解して欠損部分を復元したり、隠されたデータを取得できますか？みたいな所まで問われる
• フォレンジックというよりステガノグラフィーの場合があるので注意

バイナリ全般

バイナリ全般に使える知識

• バイナリエディタ
  • バイナリエディタで眺めることで、印刷可能文字の分布とかエントロピーとか、そういった職人めいたことが分かるっぽいです
    • 目grep入門 +解説みたいな話
  • バイナリエディタによってはフォーマットごとにシンボル表示が行えるようになっていて、かなり便利な場合がある
    • TSXBINを愛用してます
    • 使うバイナリエディタはお国柄出るイメージがある（日本人だったらStirlingとかBzとか）
    • HxDとか、ImHexとか、010 Editorとか見る気がする。たまーに有償の最強ツール（名前忘れた…）で殴ってる回答も見られる。なんでもいいが、シンボル表示はマジで便利
• ファイルフォーマット
  • ファイルフォーマットを理解して、壊れたファイルを復元するような問題が出る
    • シンボル表示対応のバイナリエディタで開くことをオススメする
  • マジックナンバー): ファイルの先頭にフォーマット固有のバイト列をいれておくもの
  • 後はひたすらググって仕様書を読む
• エントロピーテスト
  • Sysinternalsのsigcheckでエントロピーテストできるみたい。8くらいあるとかなりエントロピーが高い。エントロピーが高いと、圧縮や暗号化の可能性がある
• fileコマンド
  • そもそも。何のファイルかも明かされないときがある。単純にfileコマンドで通すと分かるかも
  • fileコマンドの結果で検索すると開けるソフトが出てくるかも
• stringsコマンド
  • 文字列を抜き出せる。何のファイルか分からないときにググるキーワードが見つかったりする
• File Carving: バイナリからフォーマットを検索して、ファイルを無理矢理抜いてくること
  • binwalk -e [filename]でとりあえず試す
  • foremostやPhotoRecなど色々できるソフトがある。手動で引っ張ってこないといけない場合もある
    • バイナリエディタで見て、ddコマンドで抜いてくるイメージあります
  • Data Stream Carvingというファイルというより文字列を探してくるCarving方法もあるっぽい
    • https://から始まる文字列を持ってくるとか
    • base64エンコード列っぽいものを持ってくるとか。（どこで見たかな？知ってたら逆に教えてほしいです）
• メタデータ取得
  • 画像データなどであればexiftoolを使えばメタデータが取得可能かも。だいたいstringsでも取れるけど
  • 例えばwordファイルなど、ファイルによってメタデータが個別に色々あったりする。だいたいstringsでも取れるけど
• yaraルール
  • ルールベースでバイナリのパターン判定するルール。
  • あんまり見ないけど。

ファイル種別ごと

• 画像
  • 画像だとフォレンジックというよりステガノグラフィかも…と身構えてしまったりするが、フォーマット復元系の可能性もある
  • png
    • 縦横のサイズを調整可能なので、サイズを弄ることで画像を変化させることができるかもしれない
  • QRコード
    • 日本で頻出の題材。誤り訂正機能が強いので断片的なQRコードを復元したり、QRコードを分解して散らせてみたり、色々なことをしてくるので頑張って復元する
    • 適当に写真撮って、二値化して、スマホにかざせば頑張って読み取ってくれるような気もしないでもないが、あんまり真面目に取り組んだ経験が無い
• MS Office関連ファイル
  • oletools - OLEおよびMS Officeファイルを解析するためのPythonツール - setodaNoteで困ったことなし
    • とりあえずoleid [file]で全般的に解析する
    • VBA Macros -> olevba -c [file]
    • XLM Macros -> olevba -c [file]
    • External relationships -> oleobj [file]
  • 実態はzipファイルなのでzipに拡張子を変えて解凍して中身を見てみる
  • だいたいVBAを頑張って解析していくことになる
    • 本当は教えたくない、むっちゃ使える動的解析ツール decalage2/ViperMonkey: A VBA parser and emulation engine to analyze malicious macros.
  • Microsoft AccessのMDBファイル
    • sudo apt install mdbtoolsでmdbファイルを見る
      • テーブル一覧取得 mdb-tables [mdb-file]
      • テーブルの中身取得 mdb-export [mdb-file] [tablename]
  • 資料集 CTF-Heaven/office-tools.md at master · thezakman/CTF-Heaven
• PDF
  • origamiというフレームワークがスタンダード
    • pdfextract [pdffile]
  • pdfから文字だけ抜き出したいなら pdf2txt.py [pdffile]
  • origamiで開けないときにpeepdfも便利
    • python2 /opt/peepdf/peepdf.py [pdffile] -iみたいに開く
    • IDが色々出てくるのでobject [id]で確認しながら、rawstream [id] > [outpath]みたいにして中身を取り出してくる
  • 他解析に使えそうなサイト
    • ＰＤＦの解説（簡単な部分のみ） - ArcadiaPlus Inc.
    • PDF Stream Objects | Didier Stevens
    • FlateDecodeと差分圧縮 - 七誌の開発日記
    • Analyzing Malicious Documents Cheat Sheet
• XML
  • KMLファイル。ジオデータ、地点データを保存するフォーマット
    • <kmlみたいなタグがある
  • Google Earthを起動し、左のメニューから辿っていくとインポートできる
• フォント
  • odttfファイル: 暗号化されたttfファイル 解析例
  • ttfファイル
    • TSG CTF Wireup
    • SekaiCTF 2022 Writeup - Satoooonの物置
• 圧縮ファイル
  • パスワードクラッキング
    • CTFのWebセキュリティにおけるPassword Cracking, ハッシュ, 暗号化 - はまやんはまやんはまやん
    • パスワードクラッキング試行能力が問われたりする