๐’ƒ๐’†๐’‚๐’–๐’•๐’š ๐’Š๐’๐’•๐’†๐’๐’๐’Š๐’ˆ๐’†๐’๐’•
728x90
๋ฐ˜์‘ํ˜•
article thumbnail
ํ™€๋ฆฌ์‰ด๋“œ 2016? forensic memory :)
Wargame/CTF(Capture The Flag) 2017. 1. 11. 02:11

์–ด์ฉŒ๋‹ค ๋ณด๋‹ˆ ์ฐพ๊ฒŒ ๋œ๋ฌธ์ œ!!! ํ’€์–ด๋ณด์ž !! ๊ทผ๋ฐ ๋งž๊ฒŒ ํ‘ธ๋Š”์ง€๋ฅผ ๋ชจ๋ฅด๊ฒ ๋‹ค :( ๋ฌธ์ œ๋Š” Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server ์ด๋ ‡๊ฒŒ ๋ž€๋‹ค.์‹œ์ž‘ํ•˜์ž !! ํฌ์™€์•„์•„์•™ ๋‚˜์™€๋ผ ! volatility!!!! ๋จผ์ € imageinfo ๋ฅผ ํ†ตํ•ด profile๊ณผ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„ํŒŒ์ผ ์ƒ์„ฑ ์‹œ๊ฐ„์„ ํ™•์ธ ํ›„ pslist๋ช…๋ น์–ด๋ฅผ ํ†ตํ•ด ํ”„๋กœ์„ธ์Šค ๋ฆฌ์ŠคํŠธ๋ฅผ ํ™•์ธ ํ•ด๋ณด์•˜๋‹ค. ๋ณด๋‹ค๋ณด๋‹ˆ attrib.exe๋ฅผ ๋ณด๊ณ  ๋ฌด์Šจ ํŒŒ์ผ์ธ์ง€ ์˜๋ฌธ ์ด์ƒ๊ฒผ๋‹ค.๋ฐ”๋กœ ๊ตฌ๊ธ€๋กœ ๋‹ฌ๋ ค..

article thumbnail
๋ฉ”๋ชจ๋ฆฌ ํฌ๋ Œ์‹์—์„œ volatility ๋ฅผ ์‚ฌ์šฉํ•˜๋ฉด์„œ ... :)

๋ฉ”๋ชจ๋ฆฌ ํฌ๋ Œ์‹์— ๋น ์ ธ์„œ ์š”์ฆ˜ ๊ณต๋ถ€ํ•˜๋‹ค๊ฐ€ volatility๋ฅผ ์‚ฌ์šฉํ•˜๋Š” ๋„์ค‘ ์˜๋ฌธ์ด ๋“ค์—ˆ๋‹ค. ์˜๋ฌธ์ด๋ผ๊ธฐ ๋ณด๋‹จ ์ž˜ ๋ณด์ง€ ์•Š์•„ ์ƒ๊ธด ๋ฌธ์ œ์ด์ง€๋งŒ ... ๋จผ์ € imageinfo ๋ฅผ ํ•˜์—ฌ ๋ฉ”๋ชจ๋ฆฌ๋คํ”„์˜ ํ”„๋กœํŒŒ์ผ์„ ํ™•์ธ ํ• ์ˆ˜์žˆ๋‹ค...์—ฌ๊ธฐ์„œ ์˜๋ฌธ์ด ๋“ค์—ˆ๋Š”๋ฐ ........ ๋‘๋‘ฅ !!! BoB.vmem ํŒŒ์ผ์˜ ํ”„๋กœํŒŒ์ผ์€ windows XPSP2x86๊ณผ XPSP3x86 2๊ฐœ๊ฐ€ ๋‚˜์˜จ๋‹ค... ๋ฌผ๋ก  ์•„๋Š” ์‚ฌ๋žŒ๋„ ์žˆ๋‹ค. ์–ด๋–ป๊ฒŒ ์„œ๋น„์ŠคํŒฉ์„ ์ฐพ์•„๋‚ด๋Š”์ง€... ๋ˆˆ์ด์žˆ๋‹ค๋ฉด ์•ˆ๋‹ค... ๋‚œ ๋ˆˆ์ด์—†์—ˆ๋‹ค.๊ทธ๋ž˜์„œ ๋ช…๋ น์–ด๋ฅผ ํ†ตํ•ด์„œ ์•Œ์•„ ๋ดค๋‹ค. ์–ด๋–ป๊ฒŒ? dlllist | grep xpsp2

article thumbnail
volatility ์‚ฌ์šฉ๋ฒ• 2

kpcrscan์ด๋Š” Finding Object Roots in Vista ์— ๋ฌ˜์‚ฌ๋œ ๊ฒƒ์ฒ˜๋Ÿผ ์ž์ฒด์ฐธ์กฐ ๋ฉค๋ฒ„๋“ค์„ ์ฒดํฌํ•จ์œผ๋กœ์จ ์ž ์žฌ์  KPCR ๊ตฌ์กฐ๋“ค์„ ์Šค์บ”ํ•˜๊ธฐ ์œ„ํ•˜์—ฌ ์‚ฌ์šฉ๋˜๋Š” ๋ช…๋ น์–ด์ด๋‹ค.IDT ์™€ GDT ์ฃผ์†Œ, current,idle, ๊ทธ๋ฆฌ๊ณ  ๋‹ค์Œ ์“ฐ๋ ˆ๋“œ๋“ค, CPU ์ˆซ์ž, ๋ฒค๋”&์†๋„, ๊ทธ๋ฆฌ๊ณ  CR3 ๊ฐ’๋“ค์„ ํฌํ•จํ•˜๋Š” ๊ฐ๊ฐ์˜ ํ”„๋กœ์„ธ์„œ์— ๋Œ€ํ•œ ์ž์„ธํ•œ ์„ธ๋ถ€ ์ •๋ณด๋“ค์— ๋Œ€ํ•ด ์•Œ์•„๋ณด๊ธฐ ์œ„ํ•ด ์‚ฌ์šฉํ•œ๋‹ค. ๋˜ํ•œ ์ด๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•˜๊ธฐ ์œ„ํ•ด profile์ด๋ž€ ๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•ด์•ผํ•˜๋Š”๋ฐ. profile ์€ imageinfo๋ช…๋ น์–ด๋ฅผ ์ด์šฉํ•˜์—ฌ ์•Œ์ˆ˜์žˆ๋‹ค. pslist์ด ๋ช…๋ น์–ด๋Š” ์‹œ์Šคํ…œ์˜ ํ”„๋กœ์„ธ์Šค๋“ค์„ ๋ณด์—ฌ์ค€๋‹ค. PsActiveProcessHead ๋ฅผ ๊ฐ€๋ฆฌํ‚ค๋Š” ์ด์ค‘์—ฐ๊ฒฐ๋ฆฌ์ŠคํŠธ๋ฅผ ์ง€๋‚˜๊ฐ€๋ฉฐ ์˜คํ”„์…‹, ํ”„๋กœ์„ธ์Šค ์ด๋ฆ„, ํ”„๋กœ์„ธ์Šค ID, ๋ถ€๋ชจ ํ”„๋กœ์„ธ์Šค ID..

article thumbnail
Volatility ์‚ฌ์šฉ๋ฒ•

Volatility์˜ ์‚ฌ์šฉ๋ฒ•์— ์•ž์จ ์‚ฌ์šฉ์„ ํ•˜๊ธฐ์œ„ํ•ด ๋ช…๋ น์–ด๋ฅผ ์•Œ์•„์•ผํ•œ๋‹ค.๋จผ์ € -h ์˜ต์…˜์„ ์คŒ์œผ๋กœ ๋ช…๋ น์–ด ๋“ค์„ ๋ณผ์ˆ˜ ์žˆ๋‹ค. ๋˜ํ•œ ๊ฐ’์„ ์ €์žฅํ•˜๊ธฐ ์œ„ํ•ด์„œ๋Š” ๋ช…๋ น์–ด๋‹ค์Œ > filename.txtWindowns Mac \ Windows ์™€ Mac์ด๋ž‘ ๋ช…๋ น์–ด๊ฐ€ ๋น„์Šทํ•œ ๊ฑฐ ๊ฐ™๋‹ค. ์ดํ•˜ Mac์œผ๋กœ๋งŒ ํ•˜๊ฒ ์Šด... ์—ฌ๊ธฐ์„œ ๋ชจ๋ฅด๋Š” ๋ช…๋ น์–ด๋ฅผ ์ฐพ์•„๋ณด๋ฉฐ ํ•ด๋ณด๋ฉด ๋˜๊ฒ ๊ณ  ๋จผ์ € imageinfo ๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•ด๋ณด๊ฒ ๋‹ค. imageinfo๋ช…๋ น์–ด๋Š” ๋‹ค๋ฅธ ํ”Œ๋Ÿฌ๊ทธ์ธ์„ ์‚ฌ์šฉํ•  ๋•Œ --profile=PROFILE----์„ ํŒŒ๋ผ๋ฏธํ„ฐ๋กœ ํ•ด์•ผํ•˜๋Š” ์ œ์•ˆ๋œ ํ”„๋กœํŒŒ์ผ์„ ์•Œ๋ ค์ฃผ๋Š” ๋ช…๋ น์–ด์ด๋‹ค.๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•˜๊ธฐ์œ„ํ•ด ํŒŒ์ผ์„ ๋„ฃ์–ด์•ผํ•˜๋Š”๋ฐ... ๋ช…๋ น์–ด ์‚ฌ์šฉ๋ฐฉ๋ฒ•์€ vol.py -f

๋ฉ”๋ชจ๋ฆฌ ๋ถ„์„ ์ „ ์•Œ์•„์•ผ ํ•  ์‚ฌํ•ญ๋“ค

๋ฉ”๋ชจ๋ฆฌ ๋คํ”„ ํŒŒ์ผ์ด๋ž€?๋ฉ”๋ชจ๋ฆฌ ๋‚ด์˜์ด ๊ฐ€์žฅ ์ˆœ์ˆ˜ํ•œ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„ํŒŒ์ผ์„ ์‹œ์Šคํ…œ์œผ๋กœ ๋ถ€ํ„ฐ ์–ป๋Š” ๊ฒƒ์„ ๋งํ•œ๋‹ค. ์ด๋ฅผ ์–ป๊ธฐ ์œ„ํ•œ ๋ฐฉ๋ฒ•์ด ์žˆ๋‹ค1 - ํ•˜๋“œ์›จ์–ด๋ฅผ ์ด์šฉํ•˜๋“œ์›จ์–ด๋ฅผ ์ด์šฉํ•˜๋ฉด ๋ฉ”๋ชจ๋ฆฌ์˜์—ญ์„ ์‚ฌ์šฉํ•˜์ง€ ์•Š์•„ ์ข€ ๋” ์ •ํ™•ํ•œ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„๋ฅผ ํ• ์ˆ˜ ์žˆ๋‹ค. ๋ฟ๋งŒ ์•„๋‹ˆ๋ผ OS์— ์ƒ๊ด€์—†์ด ์‚ฌ์šฉ ๊ฐ€๋Šฅํ•˜๋‹ค.- PCI์žฅ์น˜- FireWire2 - ์†Œํ”„ํŠธ์›จ์–ด ๋„๊ตฌ๋ฅผ ์ด์šฉํ•œ๋‹ค.์ฆ‰์„์—์„œ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„ ํŒŒ์ผ์„ ๋งŒ๋“ค ์ˆ˜ ์žˆ๋‹ค.- DD - UNIX ๋„๊ตฌ- KntDD- MDD - open source- WIN32(64)DD - ์œˆ๋„์šฐ- Fastdd3 - OS ํฌ๋ž˜์‹œ ๋คํ”„๋ฌธ์ œ๋ฅผ ์ฐพ๊ธฐ์œ„ํ•ด ์ƒ์„ฑ๋˜๋Š” ๋คํ”„ํŒŒ์ผ์ข…๋ฅ˜- ์ž‘์€ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„- ์ปค๋„ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„- ์ „์ฒด ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„4 - ํ•˜์ด๋ฒ„๋„ค์ด์…˜ ํŒŒ์ผ์ด์šฉ ๊ฐ€์ƒ ๋ฉ”๋ชจ๋ฆฌ๋ฌผ๋ฆฌ์ ์ธ ์‹ค์ฒด๋ฅผ ๊ฐ€์ง€๊ณ  ์žˆ์ง€ ์•Š์€ ๋ฉ”๋ชจ๋ฆฌ๋ฅผ ๋งํ•˜..

memory ์˜์—ญ
Security Study/System 2015. 10. 7. 10:57

memory code ์˜์—ญ- ์ฝ”๋“œ๋ฅผ ๊ตฌ์„ฑํ•˜๋Š” memory ์˜์—ญ์œผ๋กœ hex file or bin fire memory- program ๋ช…๋ น์ด ์œ„์น˜ํ•˜๋Š” ๊ณณ์œผ๋กœ ๊ธฐ๊ณ„์–ด๋กœ ์ œ์–ด๋˜๋Š” ๋ฉ”๋ชจ๋ฆฌ ์˜์—ญ์ด๋‹ค. data ์˜์—ญ- ์ „์—ญ๋ณ€์ˆ˜, ์ •์ ๋ณ€์ˆ˜, ๋ฐฐ์—ด, ๊ตฌ์กฐ์ฒด ๋“ฑ์ด ์ €์žฅ๋˜์–ด ์žˆ๋‹ค. * ์ดˆ๊ธฐํ™” ๋œ ๋ฐ์ดํ„ฐ๋Š” data ์˜์—ญ์— ์ €์žฅ๋˜๊ณ  ์ดˆ๊ธฐํ™” ๋˜์ง€ ์•Š์€ ๋ฐ์ดํ„ฐ๋Š” bss(block stated symbol)์— ์ €์žฅ๋œ๋‹ค. - ํ”„๋กœ๊ทธ๋žจ์ด ์‹คํ–‰ ๋  ๋•Œ ์ƒ์„ฑ๋˜์–ด ํ”„๋กœ๊ทธ๋žจ ์ข…๋ฃŒ ์‹œ ๊นŒ์ง€ ์กด์žฌํ•œ๋‹ค. - ํ•จ์ˆ˜ ๋‚ด๋ถ€์— ์„ ์–ธ๋œ static ๋ณ€์ˆ˜๋Š” ํ”„๋กœ๊ทธ๋žจ์ด ์‹คํ–‰ ๋  ๋•Œ ๊ณต๊ฐ„๋งŒ ํ• ๋‹น๋˜๊ณ , ํ•จ์ˆ˜๊ฐ€ ์‹คํ–‰ ๋  ๋•Œ ์ดˆ๊ธฐํ™” ๋œ๋‹ค. heap ์˜์—ญ- ํ•„์š”์— ๋”ฐ๋ผ ๋™์ ์œผ๋กœ ๋ฉ”๋ชจ๋ฆฌ๋ฅผ ํ• ๋‹น ํ•˜๊ณ ์ž ํ•  ๋•Œ ์œ„์น˜ํ•˜๋Š” ๋ฉ”๋ชจ๋ฆฌ ์˜์—ญ์œผ๋กœ ๋™์  ๋ฐ์ดํ„ฐ ์˜์—ญ์ด๋ผ๊ณ  ๋ถ€๋ฅด๋ฉฐ, ๋ฉ”๋ชจ..

728x90
๋ฐ˜์‘ํ˜•
profile on loading

Loading...