보호되어 있는 글입니다.
Security/Digital Forensic
먼저 해당 문제를 들어가면 문제 파일과 KEY Format이 제공되었다. 문제를 풀기 위해 해당 이미지 파일을 열면 오른쪽 이미지와 같은 파일을 볼 수 있었다. 문제에서 KEY Format을 ABCTF{(key)} 이라고 단서를 제공해주었기 때문에 HxD 프로그램에 해당 이미지 파일을 넣고 KEY Format의 일부인 ABC를 넣어 찾기를 진행하였다. 그 결과, ABC로 시작하는 Key 값을 찾을 수 있었고, 최종 키 값인 ABCTF{forensics_1_tooo_easy?} 을 넣어 제출했더니 문제를 풀 수 있었다!! 문제 해결 완료!!
Windows Artifacts Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거 : 프로세스, 시스템에서 자동으로 생성한 데이터 ≫ windows artifacts에 해당함 보관증거 : 사람이 기록하여 작성한 데이터 { 종류 } 레지스트리 $MFT, $Logfile, $UsnJrnl LNK JumpList Recycle Bin Prefetch & Cache(s) Timeline VSS 웹브라우저 아티팩트 EventLogs Windows Artifacts 공부 시, 가장 중요한 점 사용자의 행위에 따라 어디에 어떤 정보가 저장될까? 컴퓨터는 대체 어떻게 동작하는 걸까? ≫ 사용자는 컴퓨터로 무슨..
침해사고 시나리오 2018년 9월 24일 2018 평창 올림픽 개회식이 열리기 전날, 조직위원회로부터 올림픽 입장권 담당자인 OOO씨 앞으로 메일이 도착했다. 올림픽 경기 일정이 업데이트 되었다는 내용이다. OOO씨는 해당 메일의 첨부파일 “Olympic_Session_V10”을 확인하고 홈페이지에 일정을 업데이트 했다. 다음 날 평창 올림픽 공식 홈페이지 서버가 중단되었고, 현장에 있던 PC들이 잇따라 중단되는 사고가 발생했다. 보안팀은 사고 발생 직후 최초로 감염된 것으로 추정되는 PC의 메모리를 덤프 하였다. 단서 첨부파일 V10 'Olympic_Session_V10' 메일을 통해 감염 OlympicDestroyer_Volatility Contest 2018 풀이 imageinfo 명령어 를 통해 ..
Volatility 메모리 포렌식 도구, 오픈소스, CLI 인터페이스 버전 2주로 사용 (버전 3까지 공개됨) ▶ 오픈소스이므로 안전성의 문제 * CLI 인터페이스(command-line interface_명령 줄 인터페이스) : 가상 터미널 또는 터미널을 통해 사용자와 컴퓨터가 상호 작용하는 방식. 즉, 작업 명령은 사용자가 컴퓨터 키보드 등을 통해 문자열의 형태로 입력하며, 컴퓨터로부터의 출력 역시 문자열의 형태로 주어짐. volatility 명령어 정리 [ 운영체제 식별 ] imageinfo : 메모리 덤프의 운영체제를 식별 [ Process 검색 ] pslist : 시간 순서대로 보여줌 ▶ 시간 흐름을 파악하기 좋은 명령어 psscan : 숨겨진 프로세스 출력 가능 pstree : PID, PPI..
도구 설치, 환경 설정, 문제 volatility 프로그램 설치 윈도우즈 터미널 설치 시스템 환경변수 설정 터미널 명령어 일부 학습 : 주요 명령어) cd, mkdir, echo, cat 문제 다운로드 : Volatility wiki - Memory Samples - malware-cridex / CTF-d-GrrCON 2015 volatility? : 메모리 관련 데이터를 수집해주는 도구 volatility에서 사용하는 명령어 imageinfo : 메모리 덤프의 운영체제를 식별 filescan : 메모리 내에 존재하는 모든 파일에 대한 정보 dumpfiles : 프로세스의 메모리 덤프 추출 ▶ strings로 변환해서 키워드 검색 procdump : 프로세스의 exe 파일 추출 Process 관련) p..
