N0cT1s41

해당 포스트는 Start up 디스크 포렌식의 악성코드 감염 MBR을 복구하는 내용의 실습입니다.3.20 악성코드는 MBR영역과 VBR , BR을 모두 특정 문자열로 덮어씌워 부팅이 불가능하도록 한 악성코드이다. 일단 해당 이미지 파일을 HxD로 열어보면 예약 영역이 나오게 된다. MBR구조가 오는 것이 아니라 예약 영역을 제외하고 보기 위해 FTK Imager를 열어 확인해보자.확인해보니 MBR 영역이 모두 HASTSTI. 이라는 문자열로 뒤덮인 것을 볼 수 있었다.이 문자열을 추가적으로 더 검색해보니 MBR영역 말고도 2곳에서 더 뒤덮인건 확인 할 수 있었다. 일단 먼저 MBR을 복구하기 위해서는 정상적인 OS가 필요하다.이것은 실습이기 때문에 정상적인 OS파일을 구해놨다.복구하려는 하드디스크는 OS..

해당 문제는 Github의 MemLabs의 Obsession 문제에 대한 풀이입니다.1. Challenge descriptionMy system was recently compromised. The Hacker stole a lot of information but he also deleted a very important file of mine. I have no idea on how to recover it. The only evidence we have, at this point of time is this memory dump. Please help me. Note: This challenge is composed of only 1 flag. The flag format for this lab i..

해당 문제는 Github의 MemLabs의 The Evil's Den 문제에 대한 풀이입니다.1. Challenge descriptionA malicious script encrypted a very secret piece of information I had on my system. Can you recover the information for me please? Note-1: This challenge is composed of only 1 flag. The flag split into 2 parts. Note-2: You'll need the first half of the flag to get the second. You will need this additional tool to solve t..

해당 문제는 Github의 MemLabs의 A New World 문제에 대한 풀이입니다.1. Challenge descriptionOne of the clients of our company, lost the access to his system due to an unknown error. He is supposedly a very popular "environmental" activist. As a part of the investigation, he told us that his go to applications are browsers, his password managers etc. We hope that you can dig into this memory dump and find his impor..

해당 문제는 Github의 MemLabs의 Beginner's Luck 문제에 대한 풀이입니다. 1. Challenge descriptionMy sister's computer crashed. We were very fortunate to recover this memory dump. Your job is get all her important files from the system. From what we remember, we suddenly saw a black window pop up with some thing being executed. When the crash happened, she was trying to draw something. Thats all we remember from th..

해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다. 0. 배경1. 운영체제 식별 해당 파일을 다운로드하여 이미지의 정보를 확인명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' --profile=Win7SP1x86 pslist > pslist.log pslist..