Information Security

해당 파일의 압축을 풀면 splitted 패킷 파일이 보여 실행시키면 /flag.zip 파일을 확인할 수 있다. NetworkMointer 파일에서 Files를 보면 flag.zip 압축파일을 확인할 수 있다. flag[8].zip만 크기다 다른 것을 알 수 있다. flag.psd 파일을 보면 포토샵 파일이라는 것을 알 수 있다. 포토샵으로 파일을 보면 FLAG 값을 확인할 수 있다. (www.photopea.com/)

sieve.apk - 역할 : master password를 설정 -> pin번호 4자리 설정 - 앱 최초 실행 : master password 입력, 다른 앱이나 홈 접속 후 실행하면 pin번호 입력 - 단말기 재부팅 : master password 입력해야 앱의 내용 확인 가능 ​ 16자리 비밀번호를 입력했다. 비밀번호 입력후 PIN를 입력했다. 만들었던 비밀번호를 입력했다. 비밀번호 입력 후 [+] 버튼을 클릭했다. 서비스에 대한 정보를 입력했다. ​서비스가 만들어진 것을 알 수 있다. 앱을 나간 후 들어오면 해당 핀 번호에 대한 BruteForce 공격은 후에 진행할 것이고 이번에는 초기에 입력했던 master password를 입력해서 내부 데이터 접근하는 과정 없이 바로 내부 데이터로 접근할 ..

윈도우 부팅 순서 MBR 마스터 부트 레코드는 운영체계가 어디에, 어떻게 위치해 있는지를 식별하여 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보로서 하드디스크의 첫 번째 섹터에 저장되어 있다.

EPROCESS? 개별 프로세스를 나타내는 거대한 구조체KPROCESS(Kernel Process Block)의 포인터 포함 (프로세스 정보, 생성되는 스레드 정보를 가짐)프로세스 식별 정보프로세스에서 사용하는 메모리 정보PEB 위치 정보를 확인할 수 있으며 커널 모드에 위치 _EPROCESS의 구조체를 확인할 수 있다. KDBG를 통해 _EPROCESS를 찾을 수 있다. KDBG(_KDDEBUGGER_DATA64) 구조체? 크래시나 디버깅 시에 필요한 커널의 정보들을 담은 구조체이 구조체는 아래와 같은 구조의 헤더로 시작패턴 매칭List 변수의 마지막 8바이트가 항상 0으로 채워짐OwnerTage는 KDBG로 세팅Size는 XP일 경우 0x290, Windows 2000의 경우 0x208 BytesVA..

구조체 역할 EPROCESS (Executive Process) 개별 프로세스를 나타내는 거대한 구조체 - KPROCESS를 포함 KPROCESS (Kernel Process Block, PCB) 커널에서 스레드 스케줄링과 프로세스에 포함되는 스레드들의 기본설정 값, 시스템에서 동작하는 스레드 관리에 필요한 정보 등을 확인 ETHREAD (Executive Thread) 개별 스레드에 대한 정보를 가짐 -KTHREAD 포함 -스레드 시간 정보 -프로세스/스레드 ID -스레드 시작 주소 KTHREAD (Kernel Thread Block, TCB) 디스패칭 정보, 실행시간, 커널 스택 정보 등을 가짐 PEB(Process Environment Block), TEB(Thread Environment Bloc..

이번 문제는 암호를 복호화하는 것이다. 임의 값인 test를 입력한 후 검증 버튼을 클릭하면 다시 시도해보라는 메시지를 보여준다. ​ jadx 프로그램을 통해 text search에서 Nope 검색했다. MainActivity 클래스 내부에 Verify 메서드가 있고 해당 메서드 내부에 찾은 메시지를 볼 수 있다. 성공하면 Success! 문자가 실행된다. obj의 변수에 String 객체에 들어간다. a클래스 내부의 a메서드 내부의 인자 값으로 obj가 들어간다. true가 나오면 보이는 Success! 메시지가 보이고 false가 나오면 Nope 메시지를 보여준다. a클래스의 a메소드에 들어가면 string객체를 받고 있고 입력했던 값이 str에 들어가서 활용이 된다. bArr 더블클릭하면 byte ..

콜백(Callback) 다른 코드의 인수로서 넘겨주는 실행 가능한 코드 콜백을 넘겨 받는 코드는 특정 코드를 실행 콜백 함수 호출될 함수를 알려 주어 다른 프로그램/모듈에서 함수를 호출하게 하는 방법. 일반적으로 운영 체계(OS)가 호출할 애플리케이션의 함수를 지정해 특정한 사건 또는 메시지가 발생했을 때 호출되도록 지정할 수 있다. log_to_file 함수를 통해 process_monitor_log.csv 파일로 저장 하고 WMI를 통해 c 객체 생성한다. 객체 중에서 콜백을 등록할 수 있는 creation 등록을 해서 process_watcher라는 함수를 생성하고 new_process 전달한다. new_process가 주체가 되서 자신의 정보를 가져와서 세팅하고 new_porcess가 생성될 때마..

디바이스 드라이버 로드 가능한 커널 모드 모듈(sys 확장자)로 I/O 관리자와 관련 하드웨어 사이를 인터페이스로 연결 (IRP, I/O Request Packet) 직접 하드웨어를 조작하지 않고, 하드웨어와 통신하기 위해 HAL 내의 함수를 호출 유저 모드 프로그램과 통신하기 위해서 IRP에 대한 처리가 필요 DriverEntry 함수가 커널로 Load가 됬을 경우 내부의 함수가 실행된다. 로그를 남기면 "I loaded" 메시지를 보여주고 onUnload가 가능할 수 있도록 작성되었다. x86 Checked Build Environment 프로그램을 통해 basic.c 파일 위치에서 build -cegZ 빌드를 했다. build가 성공한 경우 i386 폴더에 파일들이 생성되었다. InstDrv 프로그..