- 분류 전체보기 (480)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 |
- Docker
- SQL Injection
- ESXi
- 안드로이드
- XSS
- frida
- Openstack
- vulnhub
- imageinfo
- elasticsearch
- filescan
- otter
- CTF-d
- igoat
- 포렌식
- Suninatas
- Strings
- kibana
- lord of sql injection
- foremost
- beebox
- FTK Imager
- base64
- Volatility
- dreamhack
- InsecureBank
- ctf
- diva
- 2018
- 인시큐어뱅크
- Today
- Total
목록imageinfo (7)
Information Security
MemLabs Lab 6 - The Reckoning
문제 설명 정보국으로부터 이 메모리 덤프를 입수했습니다. 정보국에 따르면 이 자료에는 지하 세계 갱스터 데이비드 벤자민의 비밀이 담겨 있을 가능성이 있다고 합니다. 이 메모리 덤프는 FBI가 이번 주 초에 체포한 그의 부하 중 한 명에게서 확보한 것입니다. 당신의 임무는 이 메모리 덤프를 분석하여 단서를 찾아내는 것입니다. FBI는 또한 데이비드가 인터넷을 통해 부하들과 소통했다고 밝혔으므로, 인터넷 단서를 추적하는 것이 좋은 시작점이 될 수 있습니다. 참고 : 이 과제는 깃발 1개가 2부분으로 나뉘어져 있습니다. 이 실습의 플래그 형식은 inctf{s0me_l33t_Str1ng} 입니다. 메모리 덤프 파일의 운영체제를 확인하였습니다.python vol.py -f MemoryDump_Lab6.raw im..
MemLabs Lab 5 - Black Tuesday
문제 설명 최근 저희 고객으로부터 메모리 덤프 파일을 받았습니다. 고객이 자리를 비운 사이에 누군가 시스템에 접근하여 이상한 파일들에 접근한 것을 발견했다고 합니다. 해당 파일들을 찾으면 유용할 수 있을 것 같습니다. 고객의 말을 그대로 인용하자면 다음과 같습니다. "이름들이 알아볼 수 없었다. 알파벳과 숫자로 이루어져 있었지만 정확히 무엇인지 알아볼 수 없었다." 게다가 그는 평소에 가장 즐겨 사용하던 앱이 실행할 때마다 오류가 발생하는 것을 발견했습니다. 혹시 바이러스 때문일까요?참고-1 : 이 챌린지는 깃발 3개로 구성되어 있습니다. 두 번째 깃발을 얻는 게 끝이라고 생각하신다면, 절대 아닙니다!! :P참고-2 : 이 문제를 만들 때 작은 오류가 있었습니다. 만약 " L4B_3_D0n3 !! " 라..
MemLabs Lab 2 - A New World
문제저희 회사 고객 중 한 명이 알 수 없는 오류로 인해 시스템 접근 권한을 잃었습니다. 그는 매우 유명한 "환경" 운동가로 알려져 있습니다. 조사 과정에서 그는 브라우저, 비밀번호 관리자 등을 주로 사용한다고 밝혔습니다. 이 메모리 덤프를 분석하여 그의 중요한 정보를 찾아 저희에게 보내주시면 감사하겠습니다.참고사항 : 이 챌린지는 3개의 플래그로 구성되어 있습니다. imageinfo 플러그인을 통해 메모리 이미지의 운영체제를 확인하였습니다.python vol.py -f MemoryDump_Lab2.raw imageinfo pslist 플러그인을 통해 프로세스 목록을 확인해 보면 Chrome.exe, KeePass.exe 프로세스들이 동작하는 것을 알 수 있습니다.python vol.py -f Memor..
MemLabs Lab 1 - Beginner's Luck
문제 설명여동생의 컴퓨터가 고장 났어요. 다행히 이 메모리 덤프를 복구할 수 있었죠. 언니의 중요한 파일을 시스템에서 모두 가져오는 게 당신의 임무예요. 기억하기로는 갑자기 뭔가가 실행되고 있는 검은색 창이 떴어요. 컴퓨터가 고장 났을 때, 여동생은 뭔가를 그리려고 하고 있었어요. 그게 고장 당시에 대한 기억의 전부예요.참고사항 : 이 챌린지는 3개의 플래그로 구성되어 있습니다. imageinfo 플러그인을 이용하여 가장 먼저 운영 체제를 식별을 하였습니다.python vol.py -f MemoryDump_Lab1.raw imageinfo pslist 플러그인을 사용하여 프로세스를 확인했습니다. cmd.exe, mspaint.exe, WinRAR.exe 프로세스가 수상한 것을 알 수 있습니다.python..
Volatility BlackEnergy 분석
BlackEnergy DDoS 트로이 악성코드 2008년 러시아와 조지아의 갈등 관계에서 조지아로의 사어비 공격에 사용 현대적 루트킷과 프로세스 인젝션 기술, 강한 암호화, 현대적 구조를 가짐. imageinfo를 해보면 2010-08-15 Local time은 15:22 세계시간으로는 19:22이라는 것을 알 수 있다. WinXPSP2x86 서비스 팩 설정 후 pstree 내용을 확인했다. 파일 이름이 이상한 프로세스를 확인할 수 있다. psscan 내용을 확인했다. 악성코드의 시작과 종료 시간을 알 수 있다. psxview를 통해서 숨겨진 프로세스를 확인했다. pslist와 pscan 값이 다르면 의심해야 한다. (logonui.exe는 값이 다르지만 제외) Pid 1260번은 검출되지 않아서 exp..
DC3 Challange
큰 회사의 고용인은 컴퓨터 남용으로 고발당했다. 동료들은 시스템 관리자에게 컴퓨터를 사용하여 하루 종일 게임을 하거나 메시지를 보낸다고 증언했다. 시스템 관리자는 그 고용인의 시스템을 모니터 하여 그 사용자가 Virtual Machine을 사용하는 것을 알아냈다. 고용인은 그 시스템을 Suspend 하고 있었기에 그 vmem의 정보를 수집했다. 1. 이미지가 만들어질 때 로컬 날짜와 시간은 언제인가? 정답: 2011-05-18 17:27:48 2. 어떤 OS를 사용하고 있었는가? 정답: WinXPSP2X86 / WinXPSP3x86 3. 어떤 프로세스들이 동작 중이었나(pid와 함께 작성)? 정답: msimn.exe(1128), IEXPLORE.EXE(1088), sol.exe(672), msmsgs.e..
[SUNINATAS] 30번 문제
볼라티릴티 설치 후 imageinfo를 확인했다. imageinfo를 통해 Win7SP1x86를 확인한 내용 입력 후 IP와 port를 확인하기 위해 netscan 명령어를 사용했다. 프로세스를 확인하기 위해 pstree 명령어를 사용했는데 cmd에서 notepad.exe 실행한 것을 알 수 있다. cmd에서 어떤 행동을 했는 지 확인하기 위해 cmdscan을 실행했다. 데이터 복구를 위해 R-Studio 프로그램을 설치해 cmdscan 한 경로를 확인한 결과 ScreetDoumen7.txt 파일을 확인했다. ScreetDoumen7.txt 파일에서 FLAG값을 확인할 수 있었다. Key is "4rmy_4irforce_N4vy" Q1 : IP 주소 - 192.168.197.138 Q2 : 파일 명 - ..