Forensics (62) 썸네일형 리스트형 [ctf-d] DefCoN#21 #1 [ctf-d] DefCoN#21 #1 문제에서 회의가 예정된 요일을 묻고 있다. 메시지에서 찾을 수 있지 않을까 생각했다. Messages 리스트를 쭉 봤다. 처음에는 이렇게 문자가 바로 보였다. 보다 보니까 이렇게 16진수로 나타내어진 문장들이 있었다. 그래서 그 16진수들을 아스키 문자로 변환해보았다. 출력된 메시지들을 정리해보면 Hi Greg :) Hi Betty what day do you want to meet up? How does Wednesday sound? Great :) what time? ah 2pm Ok, I can't wait! 그렇다면 회의가 예정된 요일은 수요일 성공! network_png network_png network_png 라는 이름의 파일이 하나 주어졌다. NetworkMiner에서 열었을 때 PcapNg 파일이라며 열리지 않는다. Wireshark와 NetworkMiner 두 가지 방법으로 해결해보았다. 1. Wireshark Wireshark에서 파일을 열어보았다. HTTP 리스트 추출 했더니 아래 세 개가 image랑 text 타입이다. 파일 이름도 treasure 1, 2, 3 모두 저장 버튼을 눌러서 폴더에서 파일을 확인했다. treasure1, treasure2, treasure3 파일을 HxD 프로그램에서 열었다. 헥스 값을 보다 보니 treasure1 파일에 png 파일의 헤더 시그니처가 있고 treasure3 파일에 png 파일의 푸터 시그니처가 있다. 그래서 파.. Volatility vmem파일 volatility로 분석해보기 먼저 windows 11 가상머신으로 실습을 진행하려고 했다. 가상머신을 suspend 하면 아래와 같이 vmem 파일이 생성된다. 해당 파일의 imageinfo를 출력해보려고 했는데 계속 이 화면 상태 그대로 아무것도 출력되지도 않고 넘어가지도 않았다 ... vmem 파일을 다시 추출해서 다시 imageinfo를 출력해봤다. No suggestion... 프로파일도 출력이 안 됐다 그래서 windows 7 가상머신으로 다시 실습을 진행했다. 이번에도 가상머신을 suspend 한 다음 vmem 파일을 생성했다. imageinfo 덤프파일의 이미지 정보를 분석할 수 있는 명령어 volatility ~ -f ~.vmem imageinfo 이번에는 정상적으로 출력이.. [ctf-d] GrrCON 2015 #10 [ctf-d] GrrCON 2015 #10 문제에서 키 포맷이랑 힌트를 줬다. iexplore.exe 파일을 덤프했던 텍스트 파일에서 'front' 를 계속 본 것 같아서 봤더니 있다. 키 포맷이 .exe 파일 세 개라서 .exe를 검색해봤다. 쭉 내려보다 보니까 파일 리스트가 나온다. 파일 리스트에 exe 파일이 총 4개가 있다 Rar.exe wce.exe GetIsasrvaddr.exe >> 3개의 파일은 g로 시작하지 않는다고 했으니 얘는 아님 nbtscan.exe 나머지 3개는 알파벳 순이라고 했으니까 nbtscan.exe, Rar.exe, wce.exe 성공! [ctf-d] GrrCON 2015 #9 [ctf-d] GrrCON 2015 #9 암호 해시를 구해야 한다. volatility 해시값을 얻을 수 있는 플러그인을 찾아봤다. hashdump를 사용하면 된다고 한다! 참고: [WHOIS] 포렌식 교육 7주차 공부 / volatility 사용법/PID, PPID/md5, NTLM 해시 (tistory.com) 바로 hashdump를 사용했다. volatility~ -f ~ --profile=~ hashdump Administrator의 해시값이 출력이 됐다. 어디까지인지 몰라서 우선 aa~ee까지만 입력해봤다. 틀림 그러면 ~~82까지인가보다 성공! [ctf-d] GrrCON 2015 #8 [ctf-d] GrrCON 2015 #8 사용자 정보를 얻어야 하는 문제인 것 같다. 구글링을 조금 했더니 파일의 메타 데이터에서 알 수 있다고 한다. 그래서 바로 강의자료를 찾아봄 MFT Parser을 이용하면 풀 수 있음 volatility ~ -f ~.vmss --profile=~ mftparser 엄청나게 출력이 돼서 진짜 깜짝 놀랐다 바로 중단하고 텍스트 파일로 출력 volatility ~ -f ~.vmss --profile=~ mftparser >> mftparser.txt 이 파일에서 찾아야 하는 게 해커의 정보여서 사용자와 관련이 있을 것이라고 생각 user를 검색하고 찾아봤다 계속해서 FRONTED~ ADMINI~ 가 보였는데 어느 순간 zerocool 이라는 수상한 게 보였다. 그래서 .. [ctf-d] GrrCON 2015 #7 [ctf-d] GrrCON 2015 #7 멀웨어가 사용하는 고유 이름을 찾아야 한다. 앞에서 추출한 2996.txt 에서 멀웨어였던 xtreme을 검색해봤다. logs.dat 파일이 하나 보인다 설마? 그럼 그렇지 쉬울 리가 없다 . . . 모르겠다 하하 😅 +) 다시 처음부터 살펴봤다. 문제를 이해하는 게 중요한 것 같아서 문제에서 멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다. 고 알려주고 있다. 멀웨어가 사용하는 고유 이름을 찾는 것보다 저 문장을 이용하는 게 더 맞는 것 같았다. 그래서!! 열심히 찾았다. 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex 라고 한다. 참고: https://cybersecurity.a.. [ctf-d] GrrCON 2015 #6 [ctf-d] GrrCON 2015 #6 문제가 전부 연결되어 있어서 이것도 앞에서 풀었던 걸 사용하면 된다고 생각했다. 이 문제도 멀웨어 관련해서 묻고 있는데 앞선 문제들이 악성코드에 인젝션된 프로세스의 PID 멀웨어가 사용하고 있는 레지스트리 Key 를 찾는 것이었기 때문에 #4, #5를 이용하면 될 듯! #4에서 iexplore.exe 파일의 PID를 새로 사용했으니까 더이상 #1에서 추출했던 dmp 파일은 거의 쓰이지 않을 거라고 생각했다. 그래서 우선 iexplore.exe의 PID 2996으로 덤프 파일을 생성했다. dmp 파일을 읽기 위해 txt 파일로 변환하는 작업까지 거쳐줬다. 이 생성된 파일에서 플래그를 찾을 수 있을 것 같다는 생각이 들었다 근데 무턱대고 저 파일을 전부 읽을 수는 없.. 이전 1 2 3 4 5 6 7 8 다음
