Lucete

어쩌다 보니 찾게 된문제!!!풀어보자 !!근데 맞게 푸는지를 모르겠다 :( 문제는 Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server이렇게 란다.시작하자..

메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다.의문이라기 보단 잘 보지 않아 생긴 문제이지만 ...먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...여기서 의문이 들었는데 ........두둥 !!!BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다... 물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다...

kpcrscan이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한..

Volatility의 사용법에 앞써 사용을 하기위해 명령어를 알아야한다.먼저  -h 옵션을 줌으로 명령어 들을 볼수 있다.또한 값을 저장하기 위해서는 명령어다음 > filename.txtWindownsMac\Windows 와 Mac이랑 명령어가 비슷한 거 같다.  이하 Mac으로만 하겠슴...여기서 모르는 명령어를 찾아보며 해보면 되겠고 먼저 imageinfo 명령어를 사용해보겠다.imageinfo명령어는 다른 플러그인을 사용..

메모리 덤프 파일이란?메모리 내영이 가장 순수한 메모리 덤프파일을 시스템으로 부터 얻는 것을 말한다. 이를 얻기 위한 방법이 있다1 - 하드웨어를 이용하드웨어를 이용하면 메모리영역을 사용하지 않아 좀 더 정확한 메모리 덤프를 할수 있다. 뿐만 아니라 OS에 상관없이 사용 가능하다.- PCI장치- FireWire2 - 소프트웨어 도구를 이용한다.즉석에서 메모리 덤프 파일을 만들 수 있다.- DD - UNIX 도구- KntDD- MDD - open so..

memory code 영역- 코드를 구성하는 memory 영역으로 hex file or bin fire memory- program 명령이 위치하는 곳으로 기계어로 제어되는 메모리 영역이다.data 영역- 전역변수, 정적변수, 배열, 구조체 등이 저장되어 있다. * 초기화 된 데이터는 data 영역에 저장되고 초기화 되지 않은 데이터는 bss(block stated symbol)에 저장된다.- 프로그램이 실행 될 때 생성되어 프로그..