Information Security

HxD 프로그램을 이용하여 문제 파일을 열어보면 문제에서 ZIP파일이라는 것을 알 수 있다. ZIP 파일의 헤더인 50 4B 03 04 를 찾아보면 1009개의 검색되는 것을 알 수 있다. ZIP Local File Header 구조 정리표 Signature (시그니처)항상 \x50\x4b\x03\x04 값이다.Version needed to extract (압축 해제 필요 버전)이 파일을 압축 해제하기 위해 필요한 최소 PKZip 버전Flags (일반 목적 비트 플래그)Bit 00: 파일 암호화Bit 01: 압축 옵션Bit 02: 압축 옵션Bit 03: 데이터 설명자 존재 여부(Data Descriptor 사용)Bit 04: 향상된 디플레이트Bit 05: 패치된 데이터Bit 06: 강력한 암호화Bit..

파일 실행 흔적을 찾기 위해 C:\Windows\Prefetch\ 경로로 이동하여 Prefetch 파일 전부를 추출한다. Windows **Prefetch(프리패치)**는 프로그램 실행 속도를 향상시키기 위해 윈도우가 자동으로 생성하는 캐싱 메커니즘 및 포렌식 아티팩트입니다. Windows가 프로그램을 더 빠르게 실행하기 위해 해당 프로그램이 로딩 시 사용하는 파일·DLL 정보를 기록해 두는 기능프로그램이 실행될 때마다 .pf 파일이 생성·업데이트됨기본 저장 위치:C:\Windows\Prefetch\파일 확장자.pf파일명프로그램명-해시.pf 형태 예: NOTEPAD.EXE-12345678.pf저장 시점프로그램이 최초 실행될 때업데이트실행할 때마다 Last Run Time과 Run Count가 갱신삭제사용..

Chrome 브라우저 아티팩트 위치는 %UserProfile%\AppData\Local\Google\Chrome\User Data\Default 경로로 이동하면 Histroy 파일이 존재한다. DB Browser 프로그램을 이용하여 History 내용을 보면 Dtatfalonso-Android-L-Chrome 파일 이름과 Start_time 값을 알 수 있다. https://www.epochconverter.com/webkit 해당 사이트로 이동하여 start_time 값을 입력하면 Unix time을 알 수 있다. 옆으로 이동하면 mime_type 값이 image/x-icon이라는 것을 알 수 있다.

Security.evtx를 보면 4672 관리자 권한 상승 탐지 이벤트가 많은 것을 알 수 있다. Windows PowerShell.evtx PowerShell 이벤트 로그에서 Event ID 600은 PowerShell의 시작을 의미합니다. 해당 이벤트는 PowerShell이 실행될 때 기록되며, PowerShell 세션이 열릴 때마다 자동으로 생성됩니다. Event ID 600 용도: PowerShell 사용 시작 시점을 기록하여, 누가 언제 PowerShell을 사용했는지 추적하는 데 도움이 됩니다.상세 정보: 이 로그에는 시작된 PowerShell 버전 및 호스트 정보, 실행된 사용자 정보 등이 포함될 수 있습니다./Windows/System32/winvet/Logs 경로에서 Windows Pow..

System 로그의 Event ID 6005:의미: Windows 시스템의 시작을 알리는 이벤트입니다.상세 설명: 이 이벤트는 Windows 운영 체제가 부팅될 때 시스템 로그 서비스가 시작되었음을 기록합니다. 보통 시스템이 정상적으로 부팅되었는지 확인하기 위해 사용되며, “이벤트 로그 서비스가 시작되었습니다”라는 메시지와 함께 나타납니다.용도: 주로 시스템의 시작 시간과 운영 상태를 파악할 때 사용됩니다.Security 로그의 Event ID 4608:의미: Windows 시스템의 보안 로그 초기화를 알리는 이벤트입니다.상세 설명: 시스템 부팅 후 보안 설정이 초기화되는 시점을 기록합니다. 이는 보안 관련 이벤트 로깅이 시작된다는 의미로, 시스템이 부팅되거나 재시작될 때 나타납니다.용도: 보안 측면에서..

FindUSB문제에서 사용했던 파일 중에서 Registry Explorer로 NTUSER 하이브 파일을 열어준다. SOFTWARE\Microsoft\Windows\CurrentVersion\Run 레지스트리에서 자동으로 시작하는 프로그램들을 확인할 수 있다. 자동으로 실행되고 있는 파일들을 확인할 수 있다. 해당 경로에 malware.exe 파일을 확인 malware.exe 파일을 MD5 해시값으로 계산

주어진 이미지 파일(DiskImage.E01)에서 아래 경로의 레이지스트리 파일들을 수집한다. [root]\Windows\Users\victim\NTUSER.DAT [root]\Windows\System32\config\DEFAULT[root]\Windows\System32\config\SAM[root]\Windows\System32\config\SECURITY[root]\Windows\System32\config\SOFTWARE[root]\Windows\System32\config\SYSTEMRLA 도구를 이용해 레지스트들을 dirty 상태에서 clean 상태로 만든다. FTK Imager를 이용하여 DiskImage 이미지 파일에서 Users\victim\NTUSER.DAT 파일을 추출한다. Di..

참고 해당 소스코드를 아래와 같이 컴파일한다. shell_basic 실행 후 AAAAA 문자열 입력했는데 Segmentation Fault를 보여주면서 메모리 접근 오류가 발생하였다. Flag는 /home/shell_basic/flag_name_is_loooooong 경로에 있는 것을 알 수 있다. 위에 코드 설명0x3016진수 30 = 48(10진수)보통 flag 길이 이하read(fd, buf, 0x30)fd에서 최대 48바이트 읽기읽은 크기 반환write(1, buf, 0x30)stdout에 48바이트 출력실제 읽은 크기만큼 써야 안전 write(1, buf, 0x30) 설명0STDIN_FILENO표준 입력키보드1STDOUT_FILENO표준 출력화면(콘솔)2STDERR_FILENO표준 에러화면(..