반응형

메모리포렌식 4

[HackTheBox] Reminiscent - 포렌식 / Volatility

HackTheBox 에서 제공하는 Easy 난이도의 포렌식 문제 문제 설명을 읽어보면 채용 담당자가 이상한 메일을 받아서 악성코드에 감염되었는데 이메일 사본과 메모리 덤프를 가지고 분석을 해달라 한다. 문제에서 제공되는 파일은 flounder-pc-memdump.elf 파일, imageinfo.txt, Resume.eml 파일 세가지이다. elf 파일이 메모리 덤프 파일이고, imageinfo.txt 는 volatility 를 이용해 메모리 덤프 파일에 imageinfo 플러그인을 실행한 결과, eml 은 이메일 사본이다. eml 파일을 열어보면 resume.zip 파일에 링크가 걸려있는데 해당 링크는 http://10.10.99.25:8080/ 주소로 연결되어 있는걸 알 수 있다. imageinfo.t..

[Root Me] Malicious Word macro - 포렌식 / Volatility

Root Me에서 제공하는 문서형 악성코드 분석 문제 문제 설명을 읽어보면 Word 파일을 열었는데 그 이후로 항상 들어가는 웹사이트가 들어가지지 않는다고 한다. 이 문제의 플래그는 해당 웹사이트의 도메인 이름을 알아내는 것이다. 문제가 문서형 악성코드 분석에 관련된거라 .doc, .docx 같은 문서파일이 제공될 줄 알았는데 의외로 .dmp 파일이 주어졌다. .dmp 파일은 메모리 덤프 파일이다. 아이콘은 와이어샤크 아이콘이지만 와이어샤크로 열려고 하면 안열린다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://www.volatilityfoundation.org/releases Release Downloads | Volatilit..

워게임/Root Me 2022.11.21

[2020CCE] Simple Memory - 포렌식 / Volatility

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Memory 문제 문제 제목처럼 간단한 메모리 포렌식 문제였다. 문제파일로는 mem.raw 파일이 주어진다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://www.volatilityfoundation.org/releases Release Downloads | Volatility Foundation Volatility releases are the result of significant in-depth re..

CTF/포렌식 2022.10.22

[Root Me] Command & Control - level 2 - 포렌식 / Volatility

Root Me에서 제공하는 첫번째 메모리 포렌식 문제 무슨일인지 level 1 은 없고 level 2 부터 시작한다. 내용을 보면 원래는 level 1이 있었는데 알수 없는 이유로 삭제한것 같다. 문제 설명을 읽어보면 메모리 덤프 파일에서 워크스테이션의 hostname을 찾는것이 이번 문제의 목표이다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://hackingstudypad.tistory.com/188 [SANS SIFT Workstation] 최신버전 다운로드 및 설치방법 SANS SIFT Workstation 최신버전 다운로드 및 설치 방법에 대해서 알아보자. SIFT는 Sans Investigative Forensics T..

워게임/Root Me 2022.09.06
반응형