728x90 ๋ฐ์ํ 2017/013 ํ๋ฆฌ์ด๋ 2016? forensic memory :) ์ด์ฉ๋ค ๋ณด๋ ์ฐพ๊ฒ ๋๋ฌธ์ !!! ํ์ด๋ณด์ !! ๊ทผ๋ฐ ๋ง๊ฒ ํธ๋์ง๋ฅผ ๋ชจ๋ฅด๊ฒ ๋ค :( ๋ฌธ์ ๋ Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server ์ด๋ ๊ฒ ๋๋ค.์์ํ์ !! ํฌ์์์์ ๋์๋ผ ! volatility!!!! ๋จผ์ imageinfo ๋ฅผ ํตํด profile๊ณผ ๋ฉ๋ชจ๋ฆฌ ๋คํํ์ผ ์์ฑ ์๊ฐ์ ํ์ธ ํ pslist๋ช ๋ น์ด๋ฅผ ํตํด ํ๋ก์ธ์ค ๋ฆฌ์คํธ๋ฅผ ํ์ธ ํด๋ณด์๋ค. ๋ณด๋ค๋ณด๋ attrib.exe๋ฅผ ๋ณด๊ณ ๋ฌด์จ ํ์ผ์ธ์ง ์๋ฌธ ์ด์๊ฒผ๋ค.๋ฐ๋ก ๊ตฌ๊ธ๋ก ๋ฌ๋ ค.. Wargame/CTF(Capture The Flag) 2017. 1. 11. ์ด๋ ๋ฌธ์ ์ธ์ง ๊น๋ฌต์ ๋ฌธ์ ... ์ผ๋จ ํ์ผ์์ด ํ์ด๋ณธ๋น... ์ดํ์ผ์ด๋ค.์คํ ๊ฐ๋ ธ๊ทธ๋ํผ ๋ฌธ์ ๊ฐ๋ค. ๊ทธ๋์ ์ด๋ฒ์ ์ฌ์ฉํ ํด์ stegosolve ๋ผ๋ ๊ฒ์ด๋ค.๊ตฌ๊ธ์ stegosolve๋ฅผ ๊ฒ์ํ๋ฉด ๋ค์ด๋ฐ์ ์์๋ ๊ณณ์ด ๋์จ๋ค. ์คํ์ ํ๋ฉด ์ด๋ฌํ ์ฐฝ์ด ๋์จ๋ค! stegosolve๋ฅผ ์คํ ์ํค๋ ค๋ฉด java๊ฐ ๊ผญํ์ํ๋ค. ์ด์ file - open ํด๋ณด์์ด๋ ๊ฒ ์ด๊ณ ๋์ ํ์ดํ๋ฅผ ๋๋ฌ๋ณด์ค์!! :) ๊ณ์๋๋ฅด๋ค ๋ณด๋ฉด ๊ธ์๊ฐ ๋ณด์ธ๋ค.์ ์ฌ์ง์ blue plane 5 ์ง๋ง Gray Bit ๊น์ง ๋๊ธฐ๋ฉด์๋ก์ฝ๋กฌ :) ์ง !! Wargame/CTF(Capture The Flag) 2017. 1. 11. ๋ฉ๋ชจ๋ฆฌ ํฌ๋ ์์์ volatility ๋ฅผ ์ฌ์ฉํ๋ฉด์ ... :) ๋ฉ๋ชจ๋ฆฌ ํฌ๋ ์์ ๋น ์ ธ์ ์์ฆ ๊ณต๋ถํ๋ค๊ฐ volatility๋ฅผ ์ฌ์ฉํ๋ ๋์ค ์๋ฌธ์ด ๋ค์๋ค. ์๋ฌธ์ด๋ผ๊ธฐ ๋ณด๋จ ์ ๋ณด์ง ์์ ์๊ธด ๋ฌธ์ ์ด์ง๋ง ... ๋จผ์ imageinfo ๋ฅผ ํ์ฌ ๋ฉ๋ชจ๋ฆฌ๋คํ์ ํ๋กํ์ผ์ ํ์ธ ํ ์์๋ค...์ฌ๊ธฐ์ ์๋ฌธ์ด ๋ค์๋๋ฐ ........ ๋๋ฅ !!! BoB.vmem ํ์ผ์ ํ๋กํ์ผ์ windows XPSP2x86๊ณผ XPSP3x86 2๊ฐ๊ฐ ๋์จ๋ค... ๋ฌผ๋ก ์๋ ์ฌ๋๋ ์๋ค. ์ด๋ป๊ฒ ์๋น์คํฉ์ ์ฐพ์๋ด๋์ง... ๋์ด์๋ค๋ฉด ์๋ค... ๋ ๋์ด์์๋ค.๊ทธ๋์ ๋ช ๋ น์ด๋ฅผ ํตํด์ ์์ ๋ดค๋ค. ์ด๋ป๊ฒ? dlllist | grep xpsp2 For3nsic/The Art of Memory Forensic 2017. 1. 10. ์ด์ 1 ๋ค์ 728x90 ๋ฐ์ํ