CTF - Never Too Late Mister
해당 문제는 Github의 MemLabs의 Never Too Late Mister 문제에 대한 풀이입니다.1. 문제 설명My friend John is an "environmental" activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me a memory dump and asked me to find out what he was doing while he took the dump. Can you figure it ..
$MTF, $LogFile, $UsnJrnl, .LNK, Jumplist
해당 포스트는 Windows 포렌식에서의 $MFT, $LogFile, $UsnJrnl, .lnk, Jumplist에 대한 이론적인 부분에 대한 내용입니다.1. $MFTMFT(Master File Table)NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가진다.$MFT란 MFT 엔트리들의 집합MFT 엔트리파일의 이름, 생성, 수정, 변경시간, 크기, 속성 등을 가지고 있다.파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다.2. $MFT 확인 실습윈도우 내에 $MFT를 추출해주어야 한다.FTK Imager 관리자 권한으로 실행 > 좌측 상단 ADD Evidence Item > Logical Device > \C > Finish 바탕화면에 MFT라는..
Python FTP Dictionary attack Tool
해당 포스트는 간단하게 ftp 접속과 파일 정보를 가져오는 무작위대입 공격을 하는 공격도구를 제작하는 내용입니다. 해당 포스트에서는 가상머신을 통해 MSF2라는 학습용으로 만들어진 운영체제로 학습합니다. 학습목적 외에 허가되지 않은 ftp 서비스에서의 사용은 법적처벌로 이어질 수 있음을 알려드립니다. 미리 사전에 ID와 password를 모아둔 파일을 저장한다.(해당 포스트에서는 이미 id와 password를 알고 있기에 대충 만들었다.) code ip대역 문제로 vscode에서 IDLE로 넘어와 실행을 시켰지만 잘 실행 됐고 아이디와 패스워드 성공 여부를 알려줄 수 있음도 확인했다.
Windows Registry 동작원리
해당 포스트는 Windows 포렌식과 Registry에 대한 이론적인 부분에 대한 내용입니다. 1. Windows ArtifactsArtifacts의 사전적 의미로는 "유물", "인공물" 이라는 뜻을 가지고 있지만 포렌식에서는 아래와 같은 의미가 나타낸다.Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거: 프로세스. 시스템에서 자동으로 생성한 데이터(Windows Artifacts는 생성증거에 해당)보관증거: 사람이 기록하여 작성한 데이터(1) Windows Artifacts 종류 레지스트리$MFT, $Logfile, $UsnJrnlLNKJumpListRecycle Bin(휴지통)Prefetch..
OlympicDestroyer - Volatility Contest 2018 #2
해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다.이전편을 보고오시는 것을 추천드립니다.https://infosec-noh.tistory.com/16#comment15701002 OlympicDestroyer - Volatility Contest 2018 #1해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다. 0. 배경 1. 운영체제 식별 해당 파일을 다운로드하여 이미지의 정보를 확인 명령어:volatility_2.6_win64_standalone.exe -finfosec-noh.tistory.com이전 글에서 _xut.exe와 OlympicDestoryer가 악성 프..
OlympicDestroyer - Volatility Contest 2018 #1
해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다. 0. 배경1. 운영체제 식별 해당 파일을 다운로드하여 이미지의 정보를 확인명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' --profile=Win7SP1x86 pslist > pslist.log pslist..