$ 포렌식 $
-
Memory - GrrCON 2015 #5$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:53
재부팅 이후에 지속성을 유지하는 레지스트리 키를 생각을 해보면 Microsoft\Windows\CurrentVersion\Run 레지스트리를 떠올릴수 있습니다. 재부팅 이후에 지속성을 유지하는 레지스트리 키 관련 정보는 아래의 포스팅에서 확인해 보실수 있습니다. 레지스트리 키 관련 블로그 : https://twoicefish-secu.tistory.com/59 그렇다면 volatility를 이용해서 아래의 명령어를 통해서 Microsoft\Windows\CurrentVersion\Run 레지스트리의 하위에 존재하는 키를 확인해보겠습니다. 하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 이전 문제에서..
-
Memory - GrrCON 2015 #4$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:49
문제를 해결하기 위해서는 프로세스 인젝션(Process Injection) 이 무엇인지에 대해서 공부를 해봐야 합니다. Memory Forensic 문제 풀이 글이기 때문에 Process Injection에 대해서는 상세히 다루지 않겠습니다. Process Injection이란? 다양한 Injection 공격 중에서 Process 를 파일에 추가하여 해당 프로그램이 실행이 됬을때, 인젝션된 프로세스 프로그램까지 같이 실행이 되는 것을 의미합니다. 자세한 내용은 아래의 사이트에서 확인해 보실수 있습니다. Process Injection : https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-..
-
Memory - GrrCON 2015 #3$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:48
공격자는 피싱에 성공을 한것으로 보아 앞서 언급한 AnyConnectInstaller.exe를 이용해서 공격을 한것으로 추측을 할 수 있다. 아래의 filescan 플러그인을 이용해서 해당 파일의 경로를 좀 찾아 보겠습니다. 총 6가지의 파일이 출력이 되는데 0x000000003df1cf00와 dumpfiles 플러그인을 이용해서 파일을 복구해 보겠습니다. dumpfiles 플러그인을 이용하면 올바르게 복구가 됬을때 dat 파일과 img 파일이 2개가 나오는데 두개다 안나오면 복구가 재대로 안된 상태 입니다. ↑ 복구가 완료된 상태의 파일 .img 파일을 바이러스인지 확인해 주는 VirusTotal을 이용해 보겠습니다. 넣어보니 악성코드라는 것은 확실 했고, Xtrat 라는 문자열이 많았습니다. 해당 문..
-
Memory - GrrCON 2015 #1$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:40
Target1-1dd8701f.vmss 파일을 가지고 1번 부터 16번 문제까지 풀이를 하는것으로 확인이 됩니다. 이상한 메일을 클릭한것 같다고 하면서 어떤 이메일로 메일이 왔는지 찾는 문제입니다. .vmss 파일이란? VMware에 사용되는 파일로, Suspended 상태를 저장하는 파일로서 suspend된 가상 머신의 상태를 저장합니다. Volatility Tool를 이용해서 해당 파일의 imageinfo를 알아 보겠습니다. --profile 옵션에 넣어야 하는 값은 Win7SP0x86이라는 것을 얻었고, 메모리 관련 파일이기 때문에 프로세스를 확인해 보겠습니다. 이메일 관련 프로그램 프로세스인 outlook.exe 가 실행 되는 것을 확인 할 수 있었습니다. 해당 프로세스의 PID 값을 이용해서 메..
-
Time Information Expressions(시간 정보 표현)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 12. 6. 22:25
디지털 데이터에서 절때 빠질수 없는 시간 정보를 표현하는 방식에 대해서 이야기 해보려고 합니다. 필자 같은 경우에는 공부하면서 시간 정보를 표시하는 HEX값이 나타난다면 dcode.exe 라는 시간 변환 툴을 이용해서 복호화만 하고 넘기기 일수 였습니다. 하지만 해당 HEX값이 어떻게 복호화가 되는지 알아보게 되었습니다. HEX 값이 어떤 구조를 가지는가도 중요하지만 어떤 종류의 시간 정보 표현이 존재 하는지 먼저 알아 보겠습니다. GMT( 그리니치 표준시 ) GMT(Greenwich Mean Time )의 약자로 영국 런던 외각쪽에 위치한 그리니치 천문대를 기준으로 한 기준이 되는 태양 시 입니다. 많은 천문대를 놔두고 굳이 그리니치 천문대를 태양시의 기준 으로 지정한 이유는 경도 0도에 위치해 있기 ..
-
운영체제 설치 시간 분석(Operating System Install Date Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 12. 5. 22:31
운영체제 설치 시간의 포렌식적 의미 포렌식적 의미를 바탕으로 보았을때 운영체제 설치 시간은 중요한 역할을 하기도 합니다. 용의자가 증거 은폐를 위해서 Format 또는 완전 삭제를 하기 위해서 운영체제를 새로 설치 하는 경우가 있습니다. 자신이 증거를 은폐했다는 사실을 숨기는 경우가 있는데 이때 운영체제 설치 시간이 유용하게 사용할 수 있다. 운영체제 설치 시간이 사건 발생 시간 이후로 변경이 되어 있는데도불구하고 발생 이전부터 계속해서 해당 운영체제를 쭉 사용해 왔다고 할 수 있다. 또한 모든 파일은 운영체제 설치 시간 이후의 TimeStamp를 가지고 있어야 하는데 그렇지 않은 파일이 존재 한다면 용의자(사용자)가 의도적으로 운영체제 설치 시간을 수정 했을 가능을 성을 가진다. 하지만 다른 저장매체에..
-
점프 목록 포렌식(Jump List Forensic)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 25. 13:46
점프 목록(Jump List)이란 무엇일까?? 윈도우 7 에서 새롭게 추가된 기능 응용프로그램을 사용할때 사용한 로그를 표현해주는 목록 3가지 - 최근 접근 문서(Recent) 폴더 와 RecentDocs 레지스트리 키 - UserAssist 레지스트리 키 - 점프 목록 위의 로그를 표현해주는 목록 3가지 중 점프목록에 대해서 이야기 해보려고 합니다. ↑ 윈도우 7에서의 점프 목록 ↑ 윈도우 10에서의 점프 목록 위의 사진이 제 노트북의 파일 탐색기 점프 목록 입니다. (저의 사생활이 들어있...) 작업표시줄에 있는 응용프로그램을 우클릭 해보면 점프 목록을 확인해 보실 수 있습니다 점프목록의 종류로는 4가지가 존재 합니다. 1. Recent : 사용자가 최근 접근한 파일이나 폴더를 의미합니다. 2. Fr..