| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- cmd
- SQLD
- 리버싱
- C 프로그래밍
- 보안
- 보안동향
- Defcon DFIR CTF 2019
- c언어
- 멀웨어
- 오늘의 영어
- 정보보안기사
- 설치
- 리버싱 핵심원리
- sql
- 랜섬웨어
- 악성코드
- Memory Forensics
- Code Up
- 오늘의 보안
- defcon.mem
- C language
- C
- codeup
- DEFCON
- 오늘의 보안동향
- 코딩
- 코드업
- ctf
- 다운로드
- Volatility
- Today
- Total
목록Defcon DFIR CTF 2019 (8)
오브의 빛나는 별
[Defcon DFIR CTF 2019] Memory 08
8. mal-ware-are-you 의심되는 악성코드의 md5 해시값을 찾는 문제입니다. pstree: 실행 중인 프로세스 간의 연결 구조를 트리형식으로 출력 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 pstree 형식이나 vol.exe -f 파일이름 pstree --profile=프로파일이름 형식으로 쓰면 됩니다. procdump: 프로세스 메모리 덤프 생성. 장애 프로세스의 원인을 파악하는데 사용. 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 procdump -p PID -D . 형식으로 쓰면 됩니다. certutil: 윈도우10에 내장되어 있는 md5 해시값 구하는 툴. 명령어는 CertUtil -hashfile 파일이름 MD5 형식으로 쓰면 됩니다...
[Defcon DFIR CTF 2019] Memory 07
7. i 저장할파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem dlllist --profile=Win7SP1x64 > dlllist.txt 1) cmd 열기 2) dlllist 이용. 저는 txt 파일로 저장해서 확인했습니다. txt 파일에서 VCRUNTIME140.dll을 찾아보면 2번째 사진과 같이 나옵니다. 경로를 보면 ClickToRun을 사용하고 있는데 이걸 돌리는 프로세스 이름은 OfficeClickToR입니다. 정답: OfficeClickToR
[Defcon DFIR CTF 2019] Memory 06
6. intel 악성 프로세스로 인해 연결된 세션에서 공격자의 ip를 구하는 문제입니다. netscan: 시스템명, 운영체제명, 버전명 등 네트워크 정보 확인. 네트워크 스캐너 중 설치없이 간단하게 사용 가능. 명령어는 vol.exe -f 파일이름 netscan --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem netscan --profile=Win7SP1x64 > netscan.txt 1) cmd 열기 2) netsacn 이용. 저는 5번 문제에서 저장한 txt 파일을 확인했습니다. 명령어 뒤 '> netscan.txt'는 빼셔도 됩니다. 4번 문제에서 찾은 UWkpjFjDzM.exe의 ip 주소를 보면 10.0.0.106 임을 확인할 수 있습니다. 또한 문제..
[Defcon DFIR CTF 2019] Memory 05
5. tcpip settings RAM 덤프가 된 시간대의 접속되어 있는 IP 주소를 구하는 문제입니다. netscan: 시스템명, 운영체제명, 버전명 등 네트워크 정보 확인. 네트워크 스캐너 중 설치없이 간단하게 사용 가능. 명령어는 vol.exe -f 파일이름 netscan --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem netscan --profile=Win7SP1x64 > netscan.txt 1) cmd 열기 2) netsacn 이용. 저는 txt 파일로 저장해서 확인했습니다. 명령어 뒤 '> netscan.txt'는 빼셔도 됩니다. IP를 보면 10.0.0.101, 127.0.0.1, 0.0.0.0 3가지가 있습니다. 이 중 0.0.0.0은 모든 i..
[Defcon DFIR CTF 2019] Memory 04
4. wscript can haz children wscript.exe의 자식 프로세스 이름은 무엇인지 물어보는 문제입니다. 문제 3에서 사용했던 pstree를 사용하면 됩니다. pstree: 실행 중인 프로세스 간의 연결 구조를 트리형식으로 출력 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 pstree 형식이나 vol.exe -f 파일이름 pstree --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem pstree --profile=Win7SP1x64 1) cmd 열기 2) pstree 이용. 정답: UWkpjFjDzM.exe
[Defcon DFIR CTF 2019] Memory 03
3. hey, write this down notepad.exe의 PID를 구하는 문제입니다. PID: 프로세스 식별자로 운영체제 커널에서 프로세스를 고유하게 식별하는데 사용하는 숫자 함수 호출에서 매개변수로 사용되어 프로세스의 우선순위를 조정하거나 완전히 종료하는 것과 같이 프로세스를 조작할 수 있습니다. pstree: 실행 중인 프로세스 간의 연결 구조를 트리형식으로 출력 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 pstree 형식이나 vol.exe -f 파일이름 pstree --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem pstree --profile=Win7SP1x64 1) cmd 열기 2) pstree 이용. 정답: 3032(..
[Defcon DFIR CTF 2019] Memory 02
2. profile 가장 적절한 profile이 무엇인지 물어보는 것으로 메모리에서 운영체제를 추정하는 문제입니다. imageinfo: 프로필 정보와 이미지 생성일자 등 이미지 정보 확인 명령어는 volatility -f 파일이름 imageinfo 형식으로 쓰면 됩니다. vol.exe -f defcon.mem imageinfo 1) cmd 열기 2) imageinfo 이용. 저는 volatility를 vol.exe로 이름을 변경했기 때문에 volatility 대신에 vol.exe로 썼습니다. 정답: Win7SP1x64(Win7SP0x64 등 뒤에 써있는 것 모두 정답입니다. 아무거나 써도 되나 가장 많이 사용하는게 첫 번째꺼이기 때문에 저는 첫 번째를 썼습니다.)
[Defcon DFIR CTF 2019] Memory 01
1. get your volatility on 이 문제는 defcon.mem의 SHA1 해시값을 물어보는 것입니다. 먼저 해시 값에 대해 알아보겠습니다. 해시 함수: 임의의 길이를 갖는 임의의 데이터를 고정된 길이의 데이터로 매핑하는 단방향 함수 해시 값: 해시 함수를 적용하여 나온 고정된 길이의 값 해시 함수는 입력값이 조금만 변해도 결과가 크게 달라진다는 특징이 있습니다. 이를 눈사태 효과라고 합니다. 유명한 해시 알고리즘으로는 MD(Message-Digest Algorithm)와 SHA(Secure Hash Algorithm) 등이 있습니다. 해시 충돌 문제로 인해 개선하여 발표한 순서대로 MDn, SHAn 식으로 넘버링됩니다. Powershell의 Get-FileHash를 이용해서 SHA1 해시값..