메모리
- 프로그램이 올라갈 수 있는 공간
알아낼 수 있는 정보
- 프로그램에 대한 정보
- 프로그램들이 쓰는 DLL에 대한 정보
- 프로그램들이 쓰는 파일들에 대한 정보
- 실시간으로 입력되는 유저의 패스워드
imageinfo
운영체제 정보 파악
volatility -f <이미지 이름> imageinfo
=> WinXPSP2x86
pslist
프로세스들의 리스트를 출력
volatility -f <이미지 이름> --profile=<운영체제 정보> pslist
volatility -f <이미지 이름> --profile=<운영체제 정보> pslist > pslist.log
명령어의 결과물(출력 결과)이 들어있는 pslist.log라는 새 파일이 생성
- psscan
- pstree
- psxview
하나하나 살펴보기
- smss.exe : Session Manager Subsystem을 나타내는 실행 파일
- winlogon.exe : Windows 인증 유틸리티
가끔 공격자들이 일반 실행 파일과 이름을 같게 해서 만들 수도 있음
특히 svchost.exe
- explorer.exe
- reader_sl.exe
cmdscan
command line 정보 보기
volatility -f <이미지 이름> --profile=<운영체제 정보> cmdscan > cmdscan.log
- consoles
- cmdline
filescan
메모리 내에 존재하는 모든 파일에 대한 정보
volatility -f <이미지 이름> --profile=<운영체제 정보> filescan > filescan.log
의심스러웠던 프로그램인 reader_sl.exe를 찾아서 offset 복사
dumpfiles
프로세스의 메모리 덤프 추출
mkdir files
미리 files 디렉터리 생성해주고…
volatility -f <이미지 이름> --profile=<운영체제 정보> dumpfiles -Q <오프셋 값> -D .\\files\\ -n
생성된 덤프파일을 VirusTotal에 업로드해보기
connections
연결된 TCP(일반적인 인터넷 통신) 통신 출력
volatility -f <이미지 이름> --profile=<운영체제 정보> connections > connections.log
memdump
mkdir dumps
volatility -f <이미지 이름> --profile=<운영체제 정보> memdump -p <pid 숫자> -D .\\dumps\\
strings로 변환해서 키워드 검색
strings .\\dumps\\<pid 숫자>.dmp > strings_<pid 숫자>.log
예상 공격 시나리오
readr_sl.exe → 악성 PDF 문서 → 취약점 → URL 접속
procdump
프로세스의 exe 파일 추출
volatility -f <이미지 이름> --profile=<운영체제 정보> procdump -p <pid 숫자> -D .\\dumps\\
Windows 보안 꺼줘야 함( 바이러스 및 위협 방지>실시간 보호 off )
[DigitalForensic] with CTF 멀티미디어 포렌식 문제 풀이
우리는 이 파일에 플래그를...
https://nine-heron-ae1.notion.site/ctf-d-6c7878db7c74424b9fc073b4fdd37689
Find Key(butterfly)
https://nine-heron-ae1.notion.site/ctf-d-Find-Key-butterfly-ad0a9266c13b4cff8cd6eb19a713aa71
답을 찾고 제출해라!
https://starlight-drop-12h.notion.site/3-088e0f330f5f451d8553f6c2b773192b
'4-4. 2023-1 심화 스터디 > 디지털 포렌식 문제 풀이' 카테고리의 다른 글
[2023.07.12] 재능기부 (0) | 2023.07.12 |
---|---|
[2023.05.06] 인프런 강의 section2 CTF-d, GrrCon 2015 풀이 및 디지털 포렌식 문제 풀이 (0) | 2023.05.08 |
[2023.04.08] 디지털포렌식 section2 및 메모리 포렌식 문제 풀이 (0) | 2023.04.11 |
[2023.03.18] 디지털 포렌식 기초 & 멀티미디어 포렌식 문제 풀이 (2) | 2023.03.18 |