본문 바로가기

전체 글345

[Memory] GrrCON 2015 #5 자동실행과 관련된 레지스트리 HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" printkey -K "Microsoft\Windows\CurrentVersion\Run" MrRobot https://twoicefish-secu.tistory.com/59 악성코드.. 2021. 12. 12.
[Memory] GrrCON 2015 #4 프로세스 인젝션 - 프로세스를 파일에 추가해서 해당 파일이 실행됐을 때 인젝션된 프로세스 프로그램까지 같이 실행되는 것 어떤 프로세스가 삽입되어있는지 알기 위한 방법 1. 악성 프로그램 직접 실행해서 process injection된 프로세스 찾기 Windows7에 악성 파일 넣고 실행해서 Process Explorer로 확인하면 된다. 2. python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" pstree iexplore.exe같은 사용자 응용 프로그램은 explorer.exe 밑으로 실행된다. 그러나 독자적인 iexplorer.exe 프로세스가 발견됐다. 또한 그 자식으로 cmd.exe 프로세스가 존재한다. 2996 2021. 12. 12.
volatility 플러그인 정리 https://schmidtiana95.tistory.com/entry/Volatility Volatility 플러그인 볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습 schmidtiana95.tistory.com 워게임 풀면서 직접 써본 것 imageinfo 메모리 덤프 파일의 프로파일 정보 출력 프로파일은 운영체제와 하드웨어 아키텍처 식별 정보 vol.py -f imageinfo pslist 프로세스 리스트 보여준다. 은닉 프로세스 탐지 불가 -> psscan, pstree가 찾아준다. vol.py -f --profile=[운영체제] pslist filescan 추출할 .. 2021. 12. 12.
[Memory] GrrCON 2015 #3 python2 vol.py -f "Target1-1dd8701f.vmss" --profile="Win7SP1x86_23418" filescan | find "AnyConnectInstaller.exe" 위에 나온 결과에서 처음부터 다 해보고 있었는데, 두 번째 거 했을때 다운이 안되고 윈도우 디펜더가 작동했다. python2 vol.py -f "Target1-1dd8701f.vmss" --profile="Win7SP1x86_23418" dumpfiles -Q 0x000000003df1cf00 -D ./ xtrat이 정답 인증이 안되네... XtremeRAT 2021. 12. 12.
[Memory] GrrCON 2015 #2 strings.exe 3196.dmp | find ".exe" > result.txt AnyConnectInstaller.exe 2021. 12. 12.
[Memory] GrrCON 2015 #1 python2 vol.py -f Target1-1dd8701f.vmss imageinfo python2 vol.py -f "Target1-1dd8701f.vmss" --profile="Win7SP1x86_23418" pslist python2 vol.py -f "Target1-1dd8701f.vmss" --profile="Win7SP1x86_23418" memdump -p 3196 -D ./ 여러 검색을 해보면 @gmail.com에 있겠다는 판단이 선다. strings.exe 3196.dmp | find "@gmail.com" th3wh1t3r0s3@gmail.com 2021. 12. 12.

티스토리툴바