정보보안41 AFL 이해를 위한 기본 개념 일반적인 fuzzer의 architecture test case generator : 입력값을 만들고 새로운 test case 생성 worker : 주어진 입력값을 통해 프로그램 실행시키고 test case generator가 제공하는 테스트 케이스 실행하고 예상치 못한 동작 인식하는 역할 logger : 프로그램이 돌면서 버그 분석에 필요한 정보를 기록한다. 발견된 모든 crash와 각각의 테스트 사례를 기록하거나 저장하는 역할 logging은 crash 스택 추적을 통해 crash 분석을 쉽게 할 수 있다. fuzzing의 type 퍼징을 위해 입력값을 어떻게 조절하는지에 따라(테스트 케이스를 어떻게 생성하는지에 따라) 다음과 같이 두 가지 방식이 존재한다. Mutation Based Fuzzing(.. 2022. 1. 7. 레지스트리, 하이브 파일 레지스트리 - 시스템에서 사용하는 운영체제 내에서 작동하는 모든 프로그램의 시스템 정보를 담고있는 데이터베이스 - 커널과 같은 핵심 요소 - 휘발서 메모리 - 원래 윈도우에서 프로그램에 대한 구성 설정을 각 프로그램마다 .ini 파일을 사용했지만, 파일들이 시스템 여러 곳으로 퍼짐으로써 찾기가 쉽지 않아 레지스트리가 도입되었다. 레지스트리 하이브 - 루트키 아래 서브키로부터 그 아래 모든 서브키를 포함하는 트리 구조 - 레지스트리 정보를 갖고있는 물리적인 파일 - C:\Windows\System32\config 에 존재 루트키 레지스트리가 있는데 하이브 파일이 필요한 이유 - 레지스트리는 메모리에 존재. 휘발성이기 때문에 컴퓨터를 재부팅하면 사라진다. - live system이라면 바로 메모리 덤프 떠서.. 2021. 12. 13. volatility 플러그인 정리 https://schmidtiana95.tistory.com/entry/Volatility Volatility 플러그인 볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습 schmidtiana95.tistory.com 워게임 풀면서 직접 써본 것 imageinfo 메모리 덤프 파일의 프로파일 정보 출력 프로파일은 운영체제와 하드웨어 아키텍처 식별 정보 vol.py -f imageinfo pslist 프로세스 리스트 보여준다. 은닉 프로세스 탐지 불가 -> psscan, pstree가 찾아준다. vol.py -f --profile=[운영체제] pslist filescan 추출할 .. 2021. 12. 12. Windows SAM SYSTEM 이해하기 SAM windows 계정의 패시워드 해시를 저장하고 있는 파일 /etc/shadow의 윈도우 버전 SYSKEY로 암호화 되어있다. 때문에 SYSKEY를 이용해 복호화해야만 password hash를 얻을 수 있다. format username:SID:LM hash:NTLM hash::: 윈도우7 이상은 NTLM hash만 사용한다. SYSKEY SAM의 암호화에 사용된다. key size = 128bit SYSTEM 파일에서 얻을 수 있다. SAM에서 pw hash를 얻으려면 SAM과 SYSTEM 파일 둘 다 필요하다. (kali) samdump2 SYSTEM SAM 으로 얻을 수 있다. (윈도우) 아래 블로그 참조 https://umbum.dev/77 Windows Authentication [ SA.. 2021. 11. 15. LNK 파일 분석 알아가는만큼 추가할 예정 LNK 파일이 생성되는 경우 특정 응용프로그램을 실행할 때 바탕화면에 자동으로 생성 사용자가 편의를 위해 바로가기를 생성했을 때 생성 로컬 및 원격 데이터 파일, 문서를 열었을 때 생성 -> ctd-d의 [X 회사의 재정 정보를 훔치기…] 문제 바탕화면 외에도 최근 문서 폴더, 시작프로그램, 빠른 실행 등 다양한 곳에서 생성 https://c0wb3ll.tistory.com/entry/LNK-File-Structure LNK File Structure LNK File Structure LNK File? LNK File은 다른 데이터들에 접근하기 위한 정보를 가지고 있는 데이터이다. Shell Link Binary File Format은 확장자가 .LNK인 윈도우 파일 포맷이다. .. 2021. 11. 15. volatility 설치(windows, kali) windows10 standalone (비추) Volatility 2.6 Release (volatilityfoundation.org) Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org chrome 안됨 edge에서 다운받음... standalone은 플러그인 추가하는게 불가능한지는 모르겠지만 일단 찾아보니까 안나와서 비추... ※ 주의 volatility > python2.7 volatility3 > python3 windows10 (추천) 1. python 2.7 설치 2. python2 -m pip --version [**] 나는 python3과 구분하기 위.. 2021. 11. 2. 이전 1 2 3 4 5 6 7 다음
