N0cT1s41

1. 메모리 포렌식 개념1.1 메모리 포렌식이란?메모리 포렌식은 컴퓨터의 RAM에 저장된 데이터를 수집하고 분석하여 사이버 범죄, 악성코드 침투, 정보 유출과 같은 디지털 사건을 조사하고 증거를 확보하는 디지털 포렌식 기법의 한 분야다. 일반적으로 디스크 포렌식이 디스크 상의 데이터를 분석하는 데 중점을 둔다면 메모리 포렌식은 휘발성 데이터 영역인 메모리의 데이터를 대상으로 한다. RAM은 컴퓨터의 작업 환경, 실행 중인 프로세스 정보, 네트워크 연결 정보, 암호화 키, 사용자 세션 정보 등 실시간 데이터를 보관하고 있어 기존 디스크 포렌식만으로 탐지하기 어려운 정보를 제공할 수 있다.최근 공격자들이 디스크 기반 증거를 남기지 않으려고 메모리상에만 머무르는 악성 행위를 늘려가면서 메모리 포렌식은 디지털 ..

보호되어 있는 글입니다.

해당 문제는 root me의 Command & Control - level 5 문제에 대한 풀이입니다.사실 이 문제는 좀 쉬웠다.volatility3으로 PC 계정을 찾고 hashdump로 패스워드를 찾으면 될거 같은 문제였다.cmdline의 결과를 추출해서 보던 중 John Doe를 보고 사용자 계정이라는 것을 추측했다.후에 hashdump를 이용해 사용자와 암호화된 패스워드를 확인했고 복호화까지 해줬다.사실 이 문제는 시작부터 hashdump를 통해 풀 수 있었지만 처음부터 그 생각을 못했었다.

해당 문제는 root me의 Command & Control문제에 대한 풀이입니다.해당 문제를 읽어보면 dump 파일을 조사해야하는 것으로 volatility3을 사용하면 될 것 같다.문제의 정답을 hostname을 찾으면 되는 것으로 hostname이 나올법한 부분만 추출하고 조사하였다.우서 windows.info를 통해 Windows 메모리 덤프 파일에서 기본 시스템 정보를 출력해 보았다.이 플러그인은 시스템의 기본적인 정보, 커널 버전, 운영 체제 버전, 시스템 시간, 시스템 루트 디렉토리, 제품 유형 등 다양한 중요한 데이터를 제공한다.음 딱히 찾을만한 정보를 없었다.그럼 다음으로는 windows.registry.printkey를 사용해보겠다.registry 경로는 ControlSet001\Ser..

해당 문제는 CyberDefenders의 Reveal 문제에 대한 풀이입니다.1. Challenge descriptionAs a cybersecurity analyst for a leading financial institution, an alert from your SIEM solution has flagged unusual activity on an internal workstation. Given the sensitive financial data at risk, immediate action is required to prevent potential breaches. Your task is to delve into the provided memory dump from the compromised ..

해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다. 0. 배경1. 운영체제 식별 해당 파일을 다운로드하여 이미지의 정보를 확인명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' --profile=Win7SP1x86 pslist > pslist.log pslist..