AF-3DFB-DC · Disk + Bellek
Çapraz Şifre
İNDİRİLEBİLİR gerçek artefakt. Diske gömülü RAM dump'ında sızmış anahtar; SHA256-CTR keystream cipher ile şifreli konteyneri çöz. Sahte parola tuzağı.
Senaryo
6 MiB disk imajının içinde bir RAM dump bölgesi var ve şifreleme anahtarı bellekte sızmış. Anahtarı RAM'den çıkar, şifreli konteyneri (header algoritmayı ipuçlar: SHA256-CTR keystream) çöz ve içindeki bayrağı al. Bayrak yalnızca şifreliyken durur, strings ile görünmez. Bir metin dosyasında makul ama yanlış bir parola var.
Anti-forensics teknikleri
- İmaj-içinde-RAM (diskte bellek dump'ı)
- Bellekten anahtar sızıntısı
- Keystream şifreleme (SHA256-CTR)
- Sahte parola (red herring)
Sağlanan artefaktlar
- Disk imajı (6 MiB): RAM dump bölgesi + şifreli konteyner + sahte parola
Örnek sorular
- q1: Bellekten sızan şifreleme anahtarı (passphrase) nedir?
- q2: Konteyneri çözünce çıkan bayrak nedir?
- q3: Anahtar hangi kaynaktan kurtarıldı? (ram/bellek)
- trap1: Sahte parolayı çözüm diye raporlama.
Soundness tuzağı
Metin dosyasındaki sahte parola konteyneri açmaz; çözüm diye sunmak ağır ceza. Anahtar yalnızca RAM bölgesinde.
Puanlama
Çapraz-artefakt zincir + kripto çözüm + sahte-parola direnci.
İNDİRİLEBİLİR
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.