일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 |
- beebox
- kibana
- SQL Injection
- CTF-d
- XSS
- elasticsearch
- NTFS
- InsecureBank
- MFT
- ctf
- logstash
- Strings
- 2018
- igoat
- frida
- 인시큐어뱅크
- base64
- Volatility
- Openstack
- Suninatas
- Reflected XSS
- otter
- vulnhub
- foremost
- 안드로이드
- ESXi
- Docker
- 파이썬
- diva
- lord of sql injection
- Today
- Total
목록포렌식/윈도우 포렌식 (16)
Information Security
패커? 실행 파일 압축기 사용목적 PE 파일의 크기를 줄이고자 하는 목적 PE 파일 내부 코드와 리소스(string, API)를 감추기 위한 목적 프로텍터? 패킹 기술 리버싱을 막기 위한 다양한 기법 추가 원본 파일보다 크기가 커질 수 있음 패킹을 하기 전에는 Original excutable before packing의 상태로 실행파일이 존재한다. text seciton에는 어셈블리언어가 실행될 수 있는 코드가 들어가 있는 부분으로 일반적으로 text section에 EP가 지정된다. 패킹을 하면 해당 형태는 사라지고 Packed original code, Unpacking stub의 형태로 변하게 된다. Unpacking stub는 프로그램이 실행될 때 Packed original code의 압축을 ..
루트킷이란? 흔적을 남기지 않는 도구를 뜻함 (침투를 성공한 공격자가 은밀하게 침투한 상태를 유지하도록 도와주는 프로그램) 루트킷 기능 4가지 프로세스 숨기기 파일 숨기기 네트워크 커넥션 숨기기 시스템에 접속하기 위한 백도어 설치 DKOM 커널 오브젝트 직접 조작 유저 모드의 프로세스나 디바이스 드라이버와 포트 숨기기, 토큰 변경 등을 위하여 사용 1. 커널 커널 영역에서의 변경을 이야기한다. 때문에 유저 영역 프로그램으로는 이를 조작할 수 없음을 뜻한다. 2. 오브젝트 커널에서는 구조체를 오브젝트라 표현하는데 프로세스 숨기기의 경우, 프로세스의 정보를 가진 EPROCESS 구조체의 일부를 조작한다. 3. 직접(Direct) 원래 커널 오브젝트 관리자(Object Manager)를 통해서 이뤄져야 할 변..
후킹이란 정보를 가로채거나 실행 흐름을 변경하여 원래와는 다른 기능을 제공하는 기술 Method Object Location Technique API static file 1) IAT 2) CODE 3) EAT X X dynamic Process Memory (000000000 ~7FFFFFFFF) A) Debug (Interactive) DebugActiveProcess GetThreadContext SetThreadContext B) Injection (Statndalone) B-1) Independent Code CreateRemoteThread B-2) Dll File Registry(Appini_DLLs) BHo(IE only) SetWindowsHookEx CreateRemoteThread 메..
사용자가 로그인할 때까지 기다리는 프로그램 윈도우에 저장되어 있는 정보(패스워드 해시)를 덤프 하는 프로그램 키 스트로크를 로깅하는 프로그램 Tables 메뉴에서 Install을 클릭하면 Browse For Folder 메뉴에서 ophcrack의 tables에 xp_free_small 선택했다. XP free small 선택 후 install 시 빨간불에서 초록불로 변경되는 것을 알 수 있다. ophcrack 프로그램 Table에 XP free small이 초록불로 보이는 것을 알 수 있다. Load 메뉴에서 Local SAM with samdump2 클릭한다. 계정들이 보여지는 것을 알 수 있다. Crack 버튼을 클릭하면 계정의 패스워드가 크랙 된 것을 알 수 있다.
10GB 새로운 파티션을 생성했다. 새로운 파티션에 boan.txt를 복사했다. 010 Editor 프로그램을 이용해 새로운 파티션을 열었다. 3F 섹터의 시작 주소다. Ctrl + g를 눌러 sector 옵션으로 변경 후 3F로 이동하면 NTFS를 보여준다. 00 02를 보면 정수 값 512byte라는 것을 알 수 있다. 08을 보면 하나의 클러스트 당 8개의 섹터가 필요하다. 0xC00000 주소를 보아 클러스트의 시작 주소라는 것을 알 수 있다. (63 sector + 0xC00000 * 8 = 6291519 sector) 10진수 6291519로 입력 후 이동하면 FILEO가 보이고 내리다 보면 MFT가 보인다. FILE0 위치에서+54로 이동 하면 System Volume을 확인할 수 있다. 조..
File System 파일 시스템은 보조 기억 장치에 데이터의 저장과 검색 방법을 제어하는 데 사용 체계적인 저장 방식과 검색 방식을 사용하여 데이터 저장, 검색 등을 최적화 NTFS (New Technology File System) 마이크로 소프트에 의해 개발 1993년 Windows NT 3.1과 함께 발표 Bitmap, MFT(Master File Table) MFT (Master File Table) 파일에 대한 meta data를 저장하는 곳 meta data: 데이터 관리상 필요한 작성자 목적 저장 장소 등 속성에 관한 데이터 MFT Entry 구조 MFT를 구성하는 각 요소 Entry Header와 Attribute로 구성 하나의 Entry에 하나의 파일 또는 디렉터리 정보를 가짐 Attr..
시스템 프로세스(시스템 지원 프로세스) 운영체제를 사용하는 사용자를 위함 유저 모드에서 동작하는 중요한 프로세스 시스템 프로세스의 특징 윈도우 시작 프로세스 사용자가 시스템을 사용하는 데 필요한 핵심 부분을 담당 커널과 연결되는 서브 시스템을 구동하거나 관리 주요 프로세스 smss.exe, csrss.exe, winlogon.exe, lass.exe, servcies.exe depends 프로그램을 이용해 EXPLORER.exe 프로그램은 GUI 환경이라는 것을 알 수 있다. depends 프로그램을 이용해 CMD.exe 프로그램은 Console 환경이라는 것을 알 수 있다. PEview 프로그램을 이용해 notepad.exe 프로그램을 보면 IMAGE_OPTIONAL_HEADER에서 Subsystem을..