| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- 2018
- NTFS
- diva
- ESXi
- logstash
- XSS
- elasticsearch
- 안드로이드
- SQL Injection
- Suninatas
- CTF-d
- Reflected XSS
- igoat
- Strings
- otter
- Openstack
- ctf
- frida
- InsecureBank
- kibana
- 인시큐어뱅크
- foremost
- base64
- beebox
- Volatility
- lord of sql injection
- 파이썬
- MFT
- Docker
- vulnhub
- Today
- Total
목록imageinfo (3)
Information Security
Volatility BlackEnergy 분석
BlackEnergy DDoS 트로이 악성코드 2008년 러시아와 조지아의 갈등 관계에서 조지아로의 사어비 공격에 사용 현대적 루트킷과 프로세스 인젝션 기술, 강한 암호화, 현대적 구조를 가짐. imageinfo를 해보면 2010-08-15 Local time은 15:22 세계시간으로는 19:22이라는 것을 알 수 있다. WinXPSP2x86 서비스 팩 설정 후 pstree 내용을 확인했다. 파일 이름이 이상한 프로세스를 확인할 수 있다. psscan 내용을 확인했다. 악성코드의 시작과 종료 시간을 알 수 있다. psxview를 통해서 숨겨진 프로세스를 확인했다. pslist와 pscan 값이 다르면 의심해야 한다. (logonui.exe는 값이 다르지만 제외) Pid 1260번은 검출되지 않아서 exp..
DC3 Challange
큰 회사의 고용인은 컴퓨터 남용으로 고발당했다. 동료들은 시스템 관리자에게 컴퓨터를 사용하여 하루 종일 게임을 하거나 메시지를 보낸다고 증언했다. 시스템 관리자는 그 고용인의 시스템을 모니터 하여 그 사용자가 Virtual Machine을 사용하는 것을 알아냈다. 고용인은 그 시스템을 Suspend 하고 있었기에 그 vmem의 정보를 수집했다. 1. 이미지가 만들어질 때 로컬 날짜와 시간은 언제인가? 정답: 2011-05-18 17:27:48 2. 어떤 OS를 사용하고 있었는가? 정답: WinXPSP2X86 / WinXPSP3x86 3. 어떤 프로세스들이 동작 중이었나(pid와 함께 작성)? 정답: msimn.exe(1128), IEXPLORE.EXE(1088), sol.exe(672), msmsgs.e..
[SUNINATAS] 30번 문제
볼라티릴티 설치 후 imageinfo를 확인했다. imageinfo를 통해 Win7SP1x86를 확인한 내용 입력 후 IP와 port를 확인하기 위해 netscan 명령어를 사용했다. 프로세스를 확인하기 위해 pstree 명령어를 사용했는데 cmd에서 notepad.exe 실행한 것을 알 수 있다. cmd에서 어떤 행동을 했는 지 확인하기 위해 cmdscan을 실행했다. 데이터 복구를 위해 R-Studio 프로그램을 설치해 cmdscan 한 경로를 확인한 결과 ScreetDoumen7.txt 파일을 확인했다. ScreetDoumen7.txt 파일에서 FLAG값을 확인할 수 있었다. Key is "4rmy_4irforce_N4vy" Q1 : IP 주소 - 192.168.197.138 Q2 : 파일 명 - ..