Forensics (62) 썸네일형 리스트형 [ctf-d] GrrCON 2015 #5 [ctf-d] GrrCON 2015 #5 레지스트리에 대해 정확하게 몰라서 구글링을 또 열심히 했다. 재부팅 이후 지속성을 유지하는 레지스트리 키 Microsoft\Windows\CurrentVersion\Run 참고: https://twoicefish-secu.tistory.com/59 레지스트리 키를 출력하는 명령어: printkey -K 옵션을 사용하면 지정한 경로에 대한 레지스트리 키만 출력함 앞서 알게 된 레지스트리 키를 경로로 지정하고 키 출력 volatility ~ -f ~.vmss --profile=~ printkey -K "Microsoft\Windows\CurrentVersion\Run" 키가 총 두 개가 출력이 되었는데 두 개 중에 아래 키를 보면 AnyConnectInstaller... [ctf-d] GrrCON 2015 #4 [ctf-d] GrrCON 2015 #4 악성코드에 인젝션된 프로세스의 PID를 찾아야 한다. PID를 보려고 pstree 실행 volatility ~ -f ~.vmss --profile=~ pstree 쭉 봤다... 근데 뭐 본다고 아는 게 아님 그렇다고? 하나씩 해볼 수도 없기 때문에 구글링을 해보았습니다. 인젝션된 프로세스를 찾아보는 것에는 process explorer가 자주 쓰인다고 한다. 설치를 하긴 했는데 어떻게 사용하는지를 아직 정확하게 몰라서 ... 일단 패스 남은 건 프로세스가 각각 어떤 프로세스인지 공부하는 법밖에 없다. 부모 프로세스가 없는 것들만 쭉 봤다. csrss.exe 윈도우 시스템에 기본으로 동작되는 프로세스 wininit.exe 윈도우 초기화 프로세스들을 실행하는 프로세스.. [ctf-d] GrrCON 2015 #3 [ctf-d] GrrCON 2015 #3 악성코드의 이름을 찾아야 한다. 키 포맷이 zeus라고 힌트를 줬는데, 도대체 제우스가 뭘까 한참을 고민했다. 그러다가!! 뉴스스터디로 트로이 목마를 잠깐 다룬 적이 있다 번뜩 제우스 트로이 목마가 떠올랐다 트로이 목마 악성코드를 찾으면 되지 않을까! #1에서 추출한 3196.txt 파일에서 먼저 AllSafeCyberSec 검색해봄 근데 플래그랑 연관된 걸 찾을 수 없었다 cmd 창에서 문자열 검색 volatility ~ -f ~.vmss --profile=~ filescan | findstr "" AllSafeCyberSec 으로는 아무것도 안 나와서 (당연함... 파일 스캔인데 나올 리가) #2에서 찾았던 플래그 .exe 파일 이름을 검색해봤더니 결과가 출력.. [ctf-d] GrrCON 2015 #2 [ctf-d] GrrCON 2015 #2 문제가 단순해보인다. 앞서 풀었던 1번과 동일한 파일을 사용하고 직원들의 이메일로 첨부해서 보낸 파일을 찾는 것이므로 추출했던 3196.txt 파일을 그대로 사용하면 될 것 같았다. [ctf-d] GrrCON 2015 #1 (tistory.com) 문제에서 플래그 형식이 xxx.exe 라고 알려주고 있으니 .exe를 txt 파일에서 검색했다. 쭉 보다보니 VPN software가 업데이트 되었으니 아래의 링크를 통해 다운로드 받으라는 수상한 내용과 함께 링크에 .exe 파일이 함께 있다. 확신할 수 없으니 더 찾아보았다. 아까랑 똑같은 형식의 링크가 있다. 앞 내용을 보니 Hello Mr. Wellick 과 함께 또 다시 수상한 문장이 있다. 그렇다면 플래그를 찾.. [ctf-d] GrrCON 2015 #1 [ctf-d] GrrCON 2015 #1 문제에서 전자 메일 주소는 무엇인가? 라고 물었으니 플래그는 메일 형식일 것이다! 라고 생각을 하고 문제를 해결했다. 다운로드 받아야 하는 파일이 보니까 .vmss 형식이다. 찾아봤다. VM웨어에서 일시중단된 상태의 파일이라고 한다. 먼저 운영체제의 프로파일 정보를 알아내기 위해 volatility ~ -f ~.vmss imageinfo 사용 Win7SP1x86_23418 프로세스 정보 확인 pstree volatility ~ -f ~.vmss --profile=~ pstree psscan volatility ~ -f ~.vmss --profile=~ psscan 아무 것도 안 나옴 네트워크 정보 확인 (이 문제를 푸는 데 크게 필요한 과정은 아닌 것 같지만) v.. ZIP 파일 구조 ZIP 파일 - 데이터를 압축, 보관하기 위한 파일 형식 - 하나 혹은 여러 개의 파일들을 크기를 줄여 압축하고 하나로 묶어 저장 - Deflate 알고리즘이 가장 많이 사용되고 지원되는 압축 알고리즘 ZIP 파일 구조 - Local File Header - Central Directory - End of central directory record Local File Header - 압축 파일에 대한 기본 정보들이 포함되어 있음 - 파일 헤더 시그니처: 50 4B 05 06 (4 bytes) - version: 압축 해제 시 필요한 버전 (2 bytes) - Flags: 바이트 식별자 (2 bytes) - Compression method: 압축 유형 선택 (보통 0x08 Deflated 사용, 2 b.. PNG 파일 구조 png 파일 - 포터블 네트워크 그래픽스 (Portable Network Graphics; PNG) - 비손실 그래픽 파일 포맷 파일 시그니처 - 헤더 시그니처: 89 50 4E 47 0D 0A 1A 0A (8 bytes) - 50 4E 47 → PNG (ASCII) - 푸터 시그니처: 49 45 4E 44 AE 42 60 82 (8 bytes) 파일의 청크 - 파일 시그니처와 함께 이미지에 대한 정보를 담고 있음 - 청크는 그 자신을 중요 또는 보조로 선언 - PNG 파일에 반드시 포함되어야 하는 청크: IHDR, IDAT, IEND 청크의 구조 { Length (4 bytes), #Chunk Data의 길이 Chunk Type (4 bytes), #청크의 타입, 아스키 코드로 이루어짐 (ex. IHD.. [ctf-d] 이 그림에는 뭔가 좀 수상한... [ctf-d 이 그림에는 뭔가 좀 수상한...] png 파일에 숨겨진 jpg 파일에서 플래그를 찾아야 한다. 1. HxD [헤더 시그니처] png 파일의 헤더 시그니처 89 50 4E 47 0D 0A 1A 0A [푸터 시그니처] png 파일의 푸터 시그니처 49 45 4E 44 AE 42 60 82 49 45 4E 44 까지밖에 없는데 이거는 별로 중요한 건 아닌 듯... 2. 파일 속성 앞에 푼 생각 어쩌구에서 당한 것 같아서 파일 속성 확인해봤다 뭐 없다 근데 파일 크기가 진짜 크다 앞서 푼 생각 문제 파일도 12.8KB인데 이거는 2.24MB 파일이 합쳐진 건 아닐까... 생각했다 png 파일 헤더 시그니처 부분을 검색해봤는데 다른 png 파일은 없음 흠 전에 리눅스로 카빙했던 문제가 생각이 나서 .. 이전 1 ··· 3 4 5 6 7 8 다음
