| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 오늘의 영어
- DEFCON
- 다운로드
- 코드업
- C
- cmd
- 리버싱 핵심원리
- 오늘의 보안동향
- SQLD
- Volatility
- 멀웨어
- 악성코드
- defcon.mem
- c언어
- C language
- 오늘의 보안
- Defcon DFIR CTF 2019
- 리버싱
- sql
- 정보보안기사
- 코딩
- Code Up
- Memory Forensics
- 랜섬웨어
- 보안동향
- 설치
- C 프로그래밍
- ctf
- 보안
- codeup
- Today
- Total
목록cmd (7)
오브의 빛나는 별
[Defcon DFIR CTF 2019] Memory 08
8. mal-ware-are-you 의심되는 악성코드의 md5 해시값을 찾는 문제입니다. pstree: 실행 중인 프로세스 간의 연결 구조를 트리형식으로 출력 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 pstree 형식이나 vol.exe -f 파일이름 pstree --profile=프로파일이름 형식으로 쓰면 됩니다. procdump: 프로세스 메모리 덤프 생성. 장애 프로세스의 원인을 파악하는데 사용. 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 procdump -p PID -D . 형식으로 쓰면 됩니다. certutil: 윈도우10에 내장되어 있는 md5 해시값 구하는 툴. 명령어는 CertUtil -hashfile 파일이름 MD5 형식으로 쓰면 됩니다...
[Defcon DFIR CTF 2019] Memory 07
7. i 저장할파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem dlllist --profile=Win7SP1x64 > dlllist.txt 1) cmd 열기 2) dlllist 이용. 저는 txt 파일로 저장해서 확인했습니다. txt 파일에서 VCRUNTIME140.dll을 찾아보면 2번째 사진과 같이 나옵니다. 경로를 보면 ClickToRun을 사용하고 있는데 이걸 돌리는 프로세스 이름은 OfficeClickToR입니다. 정답: OfficeClickToR
[Defcon DFIR CTF 2019] Memory 06
6. intel 악성 프로세스로 인해 연결된 세션에서 공격자의 ip를 구하는 문제입니다. netscan: 시스템명, 운영체제명, 버전명 등 네트워크 정보 확인. 네트워크 스캐너 중 설치없이 간단하게 사용 가능. 명령어는 vol.exe -f 파일이름 netscan --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem netscan --profile=Win7SP1x64 > netscan.txt 1) cmd 열기 2) netsacn 이용. 저는 5번 문제에서 저장한 txt 파일을 확인했습니다. 명령어 뒤 '> netscan.txt'는 빼셔도 됩니다. 4번 문제에서 찾은 UWkpjFjDzM.exe의 ip 주소를 보면 10.0.0.106 임을 확인할 수 있습니다. 또한 문제..
[Defcon DFIR CTF 2019] Memory 05
5. tcpip settings RAM 덤프가 된 시간대의 접속되어 있는 IP 주소를 구하는 문제입니다. netscan: 시스템명, 운영체제명, 버전명 등 네트워크 정보 확인. 네트워크 스캐너 중 설치없이 간단하게 사용 가능. 명령어는 vol.exe -f 파일이름 netscan --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem netscan --profile=Win7SP1x64 > netscan.txt 1) cmd 열기 2) netsacn 이용. 저는 txt 파일로 저장해서 확인했습니다. 명령어 뒤 '> netscan.txt'는 빼셔도 됩니다. IP를 보면 10.0.0.101, 127.0.0.1, 0.0.0.0 3가지가 있습니다. 이 중 0.0.0.0은 모든 i..
[Defcon DFIR CTF 2019] Memory 04
4. wscript can haz children wscript.exe의 자식 프로세스 이름은 무엇인지 물어보는 문제입니다. 문제 3에서 사용했던 pstree를 사용하면 됩니다. pstree: 실행 중인 프로세스 간의 연결 구조를 트리형식으로 출력 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 pstree 형식이나 vol.exe -f 파일이름 pstree --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem pstree --profile=Win7SP1x64 1) cmd 열기 2) pstree 이용. 정답: UWkpjFjDzM.exe
[Defcon DFIR CTF 2019] Memory 03
3. hey, write this down notepad.exe의 PID를 구하는 문제입니다. PID: 프로세스 식별자로 운영체제 커널에서 프로세스를 고유하게 식별하는데 사용하는 숫자 함수 호출에서 매개변수로 사용되어 프로세스의 우선순위를 조정하거나 완전히 종료하는 것과 같이 프로세스를 조작할 수 있습니다. pstree: 실행 중인 프로세스 간의 연결 구조를 트리형식으로 출력 명령어는 vol.exe -f 파일이름 --profile=프로파일이름 pstree 형식이나 vol.exe -f 파일이름 pstree --profile=프로파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem pstree --profile=Win7SP1x64 1) cmd 열기 2) pstree 이용. 정답: 3032(..
[Defcon DFIR CTF 2019] Memory 02
2. profile 가장 적절한 profile이 무엇인지 물어보는 것으로 메모리에서 운영체제를 추정하는 문제입니다. imageinfo: 프로필 정보와 이미지 생성일자 등 이미지 정보 확인 명령어는 volatility -f 파일이름 imageinfo 형식으로 쓰면 됩니다. vol.exe -f defcon.mem imageinfo 1) cmd 열기 2) imageinfo 이용. 저는 volatility를 vol.exe로 이름을 변경했기 때문에 volatility 대신에 vol.exe로 썼습니다. 정답: Win7SP1x64(Win7SP0x64 등 뒤에 써있는 것 모두 정답입니다. 아무거나 써도 되나 가장 많이 사용하는게 첫 번째꺼이기 때문에 저는 첫 번째를 썼습니다.)