CTF-D GrrCon 2015 정리 & 추가 분석
해당 포스트에서는 CTF-D GrrCon 2015 문제에 대한 정리입니다.아래 포스트를 먼저 보고 오시는걸 추천합니다.https://infosec-noh.tistory.com/11 CTF-D, GrrCon 2015 with volatility해당 포스트에서는 CTF-D의 GrrCon 2015 #1 문제에 대한 분석입니다. 해당 문제를 제공하는 사이트는 현재 막혀있는 상태로 파일 다운을 원하고자 하면 댓글 남겨주세요. 1. 운영체제 식별 해당 파일infosec-noh.tistory.com1. GrrCon 2015운영체제 식별Win7SP1X86프로세스 검색Teamviewer 관련 프로세스(tv_w32.exe)explorer 하위 프로세스 (mstsc.exe, OUTLOOK.exe)인터넷 익스플로러 (iexp..
CTF-D Cridex 정리 & 추가 분석
해당 포스트에서는 CTF-D의 Cridex 문제에 대한 정리입니다.아래 포스트를 먼저 보고 오시는걸 추천합니다. https://infosec-noh.tistory.com/10 CTF-D Cridex 기초 분석 with Volatility1. 운영체제 식별 imageinfo 플러그인을 사용해 운영체제를 확인해본 결과 Suggested Profile(s) 부분에 WinXPSPx86 로 추정된다. 2. 프로세스 확인 volatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WiXPSP2x86 psliinfosec-noh.tistory.com1. Cridex운영체제 식별winXPSP2x86프로세스 검색reader_sl.exe(1640)가 수상한 프로세스로 ..
Volatility 정리
해당 포스트에서는 Volatility의 대한 정리입니다.1.Volatility메모리 포렌식 도구, 오픈소스, CLI 인터페이스버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용함2.Volatility 명령어 정리운영체제 식별imageinfo : 메모리 덤프의 운영체제를 식별프로세스 검색pslist: 시간 순서대로 보여줌psscan: 숨겨진 프로세스 출력 기능pstree: PID, PPID 기준으로 구조화하여 보여줌psxview: pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있음네트워크 분석netscanWindows 7 이상TCP, UDP / IPv4, IPv6Listening, Established, Closed ConnectionsWindows 7 미만현재 연결된 TCP 통..
Digital Evidence
1. 디지털 데이터의 특성 일반 증거와는 다르게 디지털 증거만의 독특한 증거 수집, 보존을 위한 절차가 필요하다. 형사소송법 상 증거능력을 부여하기 위한 요건이 존재하는데 이는 디지털 데이터의 특성에 기인 아래 표는 디지털 데이터의 특성과 그로인한 쟁점들을 정리한 것이다. 디지털 데이터 특성 특성 설명 관련 쟁점 비가시성 디지털 데이터는 육안으로 확인이 불가능하다. 전문성, 신뢰성 휘발성 내 외부 영향의 의해 쉽게 사라질 수 있다 진전성, 무결성 복제 용이성 디지털 데이터는 복제가 쉽고 원본과 사본의 구분이 불가능하다. 원본성, 압수방법(이미징) 변조 가능성 위변조 및 삭제가 용이함 진정성, 무결성 대규모성 하나의 물리적 매체에도 다수의 디지털 자료가 저장되어 있다. 압수 방법(선별 압수) 초국경성 디지..
CTF-D, GrrCon 2015 with volatility
해당 포스트에서는 CTF-D의 GrrCon 2015 #1 문제에 대한 분석입니다.해당 문제를 제공하는 사이트는 현재 막혀있는 상태로 파일 다운을 원하고자 하면 댓글 남겨주세요.1. 운영체제 식별해당 파일을 다운로드하여 이미지의 정보를 확인명령어: volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss --profile=Win7SP1x86 pslist >..
CTF-D Cridex 기초 분석 with Volatility
1. 운영체제 식별imageinfo 플러그인을 사용해 운영체제를 확인해본 결과 Suggested Profile(s) 부분에 WinXPSPx86 로 추정된다. 2. 프로세스 확인volatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WiXPSP2x86 pslist > pslist.logvolatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WiXPSP2x86 psscan > psscan.logvolatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WiXPSP2x86 pstree > pstree.logvolatility_2.6_win64..