[2023.04.01] 디지털 포렌식 기초 및 Volatility Cridex 풀이 & 멀티미디어 포렌식 문제 풀이

메모리

• 프로그램이 올라갈 수 있는 공간

알아낼 수 있는 정보

• 프로그램에 대한 정보
• 프로그램들이 쓰는 DLL에 대한 정보
• 프로그램들이 쓰는 파일들에 대한 정보
• 실시간으로 입력되는 유저의 패스워드

imageinfo

운영체제 정보 파악

volatility -f <이미지 이름> imageinfo

=> WinXPSP2x86

pslist

프로세스들의 리스트를 출력

volatility -f <이미지 이름> --profile=<운영체제 정보> pslist

volatility -f <이미지 이름> --profile=<운영체제 정보> pslist > pslist.log

명령어의 결과물(출력 결과)이 들어있는 pslist.log라는 새 파일이 생성

• psscan
• pstree
• psxview

하나하나 살펴보기

• smss.exe : Session Manager Subsystem을 나타내는 실행 파일
• winlogon.exe : Windows 인증 유틸리티

가끔 공격자들이 일반 실행 파일과 이름을 같게 해서 만들 수도 있음

특히 svchost.exe

• explorer.exe
  
  
• reader_sl.exe
  
  

cmdscan

command line 정보 보기

volatility -f <이미지 이름> --profile=<운영체제 정보> cmdscan > cmdscan.log

• consoles
• cmdline

filescan

메모리 내에 존재하는 모든 파일에 대한 정보

volatility -f <이미지 이름> --profile=<운영체제 정보> filescan > filescan.log

의심스러웠던 프로그램인 reader_sl.exe를 찾아서 offset 복사

dumpfiles

프로세스의 메모리 덤프 추출

mkdir files

미리 files 디렉터리 생성해주고…

volatility -f <이미지 이름> --profile=<운영체제 정보> dumpfiles -Q <오프셋 값> -D .\\files\\ -n

생성된 덤프파일을 VirusTotal에 업로드해보기

connections

연결된 TCP(일반적인 인터넷 통신) 통신 출력

volatility -f <이미지 이름> --profile=<운영체제 정보> connections > connections.log

memdump

mkdir dumps

volatility -f <이미지 이름> --profile=<운영체제 정보> memdump -p <pid 숫자> -D .\\dumps\\

strings로 변환해서 키워드 검색

strings .\\dumps\\<pid 숫자>.dmp > strings_<pid 숫자>.log

예상 공격 시나리오

readr_sl.exe → 악성 PDF 문서 → 취약점 → URL 접속

procdump

프로세스의 exe 파일 추출

volatility -f <이미지 이름> --profile=<운영체제 정보> procdump -p <pid 숫자> -D .\\dumps\\

Windows 보안 꺼줘야 함( 바이러스 및 위협 방지>실시간 보호 off )

 

 

 

[DigitalForensic] with CTF 멀티미디어 포렌식 문제 풀이

 

우리는 이 파일에 플래그를...

https://nine-heron-ae1.notion.site/ctf-d-6c7878db7c74424b9fc073b4fdd37689

[ctf-d] 우리는 이 파일에 플래그를…

 

Find Key(butterfly)

https://nine-heron-ae1.notion.site/ctf-d-Find-Key-butterfly-ad0a9266c13b4cff8cd6eb19a713aa71

[ctf-d] Find Key(butterfly)

 

답을 찾고 제출해라!
https://starlight-drop-12h.notion.site/3-088e0f330f5f451d8553f6c2b773192b

3주차 - 답을 찾고 제출해라!