| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- forensic
- 디지털포렌식
- 모의 해킹
- #라이브 리스폰스
- 볼라틸리티
- LOB
- ence
- 디포전
- Memory
- msfconsole
- 디포
- Kali
- #휘발성 데이터 수집
- 디지털 포렌식 개론
- metasploit
- webhacking.kr
- msf
- 인케이스
- 포렌식
- z3alous
- #system
- #live response
- 디포전2급
- #lob
- #포렌식
- volatility
- #webhacking.kr
- #휘발성
- Encase
- kali linux
- Today
- 12
- Total
- 131,513
Lucete
홀리쉴드 2016? forensic memory :) 본문
어쩌다 보니 찾게 된문제!!!
풀어보자 !!
근데 맞게 푸는지를 모르겠다 :(
문제는
Auth : MalwarePid_C&C_Attacker.Server
ex) 123_http://www.naver.com/index.php_1.2.3.4
Hint) No Parameter
Hint-2) Attacker.Server on the Memory
Hint-3) Attacker.Server is pharming Server
이렇게 란다.
시작하자 !! 크와아아앙 나와라 ! volatility!!!!
먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후
pslist명령어를 통해 프로세스 리스트를 확인 해보았다.
보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.
바로 구글로 달려가는 센스 :)
이러한 글을 보고 아하!! 악성코드 :) 분명 문제 힌트에도 파밍이라 나왔겠다 !!!!
그럼 다음으로 할 C&C서버 찾기인데 일단 연결된 네트워크를 보기위해 connscan을 하니 2148 iexplore를 보고 오잉?또잉?
두개만 따로 볼꾸양 :) 먼가 이건 hosts파일 ? 그래서 바로 filescan | grep hosts
해서 바로 ㅍㅏ일을 다운 다운다운!!!~~~~~~~~~
짜잔 ~!!! 나왔느니라!
sublime text로 여니깐 아까 connscan에서 많이본 ip다.
어디로 접속하든 저아이피로 드가게 해놨구놔! 너란남자
그래서 yarascan -Y를 이용하여 이로쿵저로쿵!
찾았다 요놈!!
끄읏 ! 맞는지는 모르겠지만 ...
'Wargame > CTF(Capture The Flag)' 카테고리의 다른 글
| CTF forensic(Recovering From the Snap) 문제 (1) | 2019.01.01 |
|---|---|
| hackover CTF I AM MANY write up :) (0) | 2018.10.09 |
| 홀리쉴드 2016? forensic memory :) (2) | 2017.01.11 |
| 어디 문제인지 까묵은 문제... (0) | 2017.01.11 |
| RC3CTF_300_Breaking News (0) | 2016.12.16 |
| seccon2016 - Memory Analysis_100 (0) | 2016.12.13 |
- Tag
- forensic, holyshield, Memory, 홀리쉴드
