Information Security

simple_patch_me 프로그램을 실행시키면 아래와 같이 문자열을 보여주고 아무 동작도 하지 않는 것을 알 수 있습니다. simple_patch_me 프로그램을 불러옵니다. 찾는 문자열의 길이를 15로 수정합니다. "I will show you the flag after 1 year :p" 문자열을 선택합니다. 프로그램의 소스코드를 알 수 있습니다. 16진수 부분을 10진수로 변경합니다. 해당 소스코드를 분석하면 시간이 8760시간 넘지 않으면 1시간 동안 sleep 하게 하고 1시간이 지난 후에야 변수에 +1 증가시키는 소스코드입니다. sleep 함수로 이동해서 EDI 값을 0초로 변경해 주면 1시간 동안 기다리지 않아도 되는 것을 알 수 있습니다. 해당 부분을 마우스 오른쪽 클릭 후 [Patc..

Ghidra 설치 후 [File] - [New Project]에서 simple crack me 프로젝트 생성 후 simple_crack_me 불러옵니다. [File] - [Import File]을 눌러 simple_crack_me 파일을 불러옵니다. [Search] - [For Strings]에서 Minimum Length 길이를 10으로 변경합니다. 문자열 중간에 "%x is wrong x[\n"을 선택합니다. 아래와 같이 녹색으로 해당 문자열을 보여줍니다. 해당 문자열 라인에서 마우스 오른쪽 클릭 후 [References] - [Show References To Address] 선택합니다. 소스코드에서 해당 문자열이 있는 위치를 알려줍니다. 아래와 같이 소스코드 위치를 알 수 있습니다. Ghidra ..

시스템의 로그 파일$MFT디스크의 모든 파일과 디렉터리에 대한 정보를 저장하는 파일 시스템 핵심 데이터베이스파일 이름, 크기, 생성/수정/접근 시간 등 메타데이터 확인 가능[ROOT]\$MFT$LogFile파일 시스템의 무결성을 보장하기 위한 트랜잭션 로그시스템 종료 직전까지의 파일 시스템 변경 내역이 시간 순서로 기록되어 타임라인 분석에 매우 중요[ROOT]\$LogFile$UsnJrnl파일에 발생한 변경 이력을 추적특정 파일의 Create / Modify / Delete 등 구체적인 행위 추적 가능(예: malware.exe 생성, secret.txt 삭제 여부 확인)[ROOT]\$Extend\$UsnJrnl 첫 번째로 [root]\$LogFile 파일을 추출했다. 두 번째로 [root]\$MFT 파..

볼라틸리티 플러그인 windows.psscan를 이용하여 살아있는 프로세스를 확인하려고 했다. 수집한 psscan에서 explor3r.exe 수상한 프로세스를 확인할 수 있습니다. windows.filescan 플러그인 결과에서 explor3r.exe.img 파일을 추출하였다. strings를 이용하여 해당 파일의 문자열 추출하였다. 문자열을 보면, 바탕화면에 있는 .pdf 파일을 찾아 삭제하는 것을 알 수 있다. 해당 악성 프로세스가 종료된 시간이 UTC 시간이므로 한국 시간으로 변경 후 입력하여 UNIX Timestamp 확인하였다. HashCalc 도구를 이용하여 MD5 해시 값을 확인하였다.

볼라틸리티3 도구를 이용하여 filescan 옵션을 통해 로그를 확인 filescan.log를 열어서 .zip 확장자를 찾음 첫 번째 주소 0xe70bd0a9f1c0 덤프파일을 추출했다. 파일을 확인해보면 gmail에서 첨부파일을 다운로드된 것을 알 수 있다. 두 번째 주소 0xe70bd3530b30 덤프파일을 추출했다. 파일이 손상되었다고 압축풀기가 되지 않는 것을 알 수 있다. HxD 프로그램을 이용하여 report3.pdf 부분을 보면 89 50 4E 47 이미지 파일 헤더 값을 확인할 수 있다. 89 50 4E 47 ~ AE 42 60 82 PNG 값을 복사하여 새로 생성하였다. 이미지 파일을 열어보면 시간,날짜, 장소까지 알 수 있다.

HxD 프로그램을 이용하여 문제 파일을 열어보면 문제에서 ZIP파일이라는 것을 알 수 있다. ZIP 파일의 헤더인 50 4B 03 04 를 찾아보면 1009개의 검색되는 것을 알 수 있다. ZIP Local File Header 구조 정리표 Signature (시그니처)항상 \x50\x4b\x03\x04 값이다.Version needed to extract (압축 해제 필요 버전)이 파일을 압축 해제하기 위해 필요한 최소 PKZip 버전Flags (일반 목적 비트 플래그)Bit 00: 파일 암호화Bit 01: 압축 옵션Bit 02: 압축 옵션Bit 03: 데이터 설명자 존재 여부(Data Descriptor 사용)Bit 04: 향상된 디플레이트Bit 05: 패치된 데이터Bit 06: 강력한 암호화Bit..

파일 실행 흔적을 찾기 위해 C:\Windows\Prefetch\ 경로로 이동하여 Prefetch 파일 전부를 추출한다. Windows **Prefetch(프리패치)**는 프로그램 실행 속도를 향상시키기 위해 윈도우가 자동으로 생성하는 캐싱 메커니즘 및 포렌식 아티팩트입니다. Windows가 프로그램을 더 빠르게 실행하기 위해 해당 프로그램이 로딩 시 사용하는 파일·DLL 정보를 기록해 두는 기능프로그램이 실행될 때마다 .pf 파일이 생성·업데이트됨기본 저장 위치:C:\Windows\Prefetch\파일 확장자.pf파일명프로그램명-해시.pf 형태 예: NOTEPAD.EXE-12345678.pf저장 시점프로그램이 최초 실행될 때업데이트실행할 때마다 Last Run Time과 Run Count가 갱신삭제사용..

Chrome 브라우저 아티팩트 위치는 %UserProfile%\AppData\Local\Google\Chrome\User Data\Default 경로로 이동하면 Histroy 파일이 존재한다. DB Browser 프로그램을 이용하여 History 내용을 보면 Dtatfalonso-Android-L-Chrome 파일 이름과 Start_time 값을 알 수 있다. https://www.epochconverter.com/webkit 해당 사이트로 이동하여 start_time 값을 입력하면 Unix time을 알 수 있다. 옆으로 이동하면 mime_type 값이 image/x-icon이라는 것을 알 수 있다.