본문 바로가기

분류 전체보기345

[Memory] GrrCON 2015 #11 memdump로 뽑아낸 2996에서 스트링 뽑아낸 그 파일...에서 wce.exe 검색 [*] 앞에서 wce.exe가 windows credential editor라고 했음.. 그래서 w.tmp로 다시 검색했지만 얻을 수 있는 것은 없었다. volatility filescan 플러그인 python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" filescan | grep "w.tmp" python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" dumpfiles -Q 0x000000003eca37f8 -D ./ flagadmin@1234 2021. 12. 13.
[Memory] GrrCON 2015 #10 pid 2996을 memdump로 얻어서 strings로 뽑아낸 그 파일에서 ".exe"로 검색하면 다음과 같은 것을 발견할 수 있다. g로 시작 안한다 했고 exe만 뽑아보면 Rar.exe -> 압축관련 실행파일 wce.exe -> windows credential editor. 인증관련 뭐 파일인간보다... nbtscan.exe -> netbios scan nbtscan.exe, Rar.exe, wce.exe 아니.. 저 많은 .exe 중에서 저건지 어떻게 확신하지?? 2021. 12. 13.
[Memory] GrrCON 2015 #9 python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" hashdump aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82 2021. 12. 13.
[Memory] GrrCON 2015 #7 악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다... 이를 malware mutex라고 한다. (적당한 도큐먼트 못찾음) 뮤텍스 자원에 대한 동시 접근을 피하기 위해 사용하는 프로그램 객체 일반적으로 악성코드가 기존에 감염되었던 시스템인지 여부를 확인하여 중복 실행을 방지하기 위한 목적으로 사용한다. 해당 뮤텍스가 이미 존재하는 경우 나중에 실행된 프로세스가 종료된다. handles 플러그인 프로세스에 의해 열린 핸들의 목록을 나타낸다. 프로세스는 CreateFile 같은 함수를 사용해 핸들을 획득한다. 그런 핸들은 CloseHandle 함수가 호출되기 전까지 유효하게 사용한다. 프로세스 핸들 프로세스 정보 중 하나 커널이 관리하는 오브젝트들에 할당되는 유일.. 2021. 12. 13.
[Memory] GrrCON 2015 #6 3번 문제를 통해 알게된 iexplorer.exe의 pid는 2996 python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" memdump -p 2996 -D ./ 여기서 앞서 구한 자동실행 레지스트리 키 값을 검색해본다. 왜냐하면 자동실행 프로그램이 실행된 다음에 로그인할 것으로 판단되기 때문이다. 패스워드 포맷에 맞는 것은 GrrCon2015이다. 이 문제는 억지같다. 플래그값을 구하는데 논리적이지 못하다. 2021. 12. 13.
레지스트리, 하이브 파일 레지스트리 - 시스템에서 사용하는 운영체제 내에서 작동하는 모든 프로그램의 시스템 정보를 담고있는 데이터베이스 - 커널과 같은 핵심 요소 - 휘발서 메모리 - 원래 윈도우에서 프로그램에 대한 구성 설정을 각 프로그램마다 .ini 파일을 사용했지만, 파일들이 시스템 여러 곳으로 퍼짐으로써 찾기가 쉽지 않아 레지스트리가 도입되었다. 레지스트리 하이브 - 루트키 아래 서브키로부터 그 아래 모든 서브키를 포함하는 트리 구조 - 레지스트리 정보를 갖고있는 물리적인 파일 - C:\Windows\System32\config 에 존재 루트키 레지스트리가 있는데 하이브 파일이 필요한 이유 - 레지스트리는 메모리에 존재. 휘발성이기 때문에 컴퓨터를 재부팅하면 사라진다. - live system이라면 바로 메모리 덤프 떠서.. 2021. 12. 13.

티스토리툴바