외로운 Nova의 작업실

- 문제 A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는? - 문제 풀이 먼저 리버스쉘을 실행시켰고, 프로세스 ID를 물어보기때문에 프로세스가 실행시킨 CMD 명령어들을 기록해놓은 ps_eaf 파일먼저 봐보겠습니다. process>ps_eaf 경로에 있습니다. sh 명령어와 php 명령어로 reverce.php를 실행시킨 기록이 있습니다. user의 계정은 www-data이고, 이 계정이 실행시킨 응용프로그램중 PID값이 5245인 프로그램이 직접 php 명령어로 reverse.php 파일을 실행시키는 것을 확인할 수 있습..

안녕하세요. volatility 명령어들을 까먹지 않기 위해 명령어들을 정리하려 합니다. iamageinfo : 운영체제 식별 volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss imageinfo - 프로세스 보기 pslist : 시간순소대로 프로세스 검색 psscan : 숨겨진 프로세스 출력 pstree : 부모,자식 순으로 구조화하여 프로세스를 출력 pscview : pslist, psscan을 포함한 도구들의 결과를 한눈에 볼 수 있습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 pslist > pslist.log volatility_2..

ㅁ안녕하세요, grrcon 2015#1에 대한 문제풀이 및 침해 분석을 해보도록 하겠습니다. - grrcon 2015#1 1번 문제는 프런트 직원들에게 보낸 사람의 전자 메일 주소를 묻는 문제입니다. 아마 메일관련한 프로세스들을 분석해봐야할 필요성이 있을 것 같습니다. - 메모리의 os 종류 알아내기 먼저 imageinfo 명령어를 사용하여 메모리의 os 종류를 알아내보겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss imageinfo Win7SP0x86 운영체제로 메모리를 분석해보도록 하겠습니다. - 메모리에서 프로세스 추출하기 pslist, psscan, pstree, psxview 명령어를 사용하여 프로세스들을 추출해보도록 하겠습..

안녕하세요. 실제로 메모리 덤프인 malware cridex를 간단하게 침해 분석 하는 것을 공부한 것을 정리해보도록 하겠습니다. - 어떤 운영체제의 메모리 인지 알아보기 메모리의 구성은 운영체제마다 다르다보니 분석할때 운영체제에 맞게 메모리를 분석해주어야합니다. 이를 위해서 volavility는 메모리의 운영체제를 분석해서 추천해줍니다. 이를 알아보기위해서 아래와 같은 명령어를 사용합니다. >volatility_2.6_win64_standalone.exe -f cridex.vmem imageinfo 명령어를 쳐주었다면, WinXPSP2x86과 WinXPSP3x86 운영체제인 것 같다고 추천해줍니다. 이 운영체를 복사해둡니다. - 실제로 실행되었던 메모리의 프로세스들을 분석해보기 운영체제를 알아냈다면 이..

- 파일 복구 파일 복구의 경우 FTK imager로 복구 시킬 수 있는데, 마운트 시킨 후에 파일을 살펴보면 파일그림에 x표시가 나와있는 것으로 삭제된 파일을 확인할 수 있습니다. 이후 파일을 오른쪽 버튼을 눌러 Export file을 누른후 destination을 지정해주면 파일을 복구 시킬 수 있습니다. 또 다른 방법으로는 Autopsy를 이용하는 방법이다. new case 누른후 case name과 base dirctory를 설정해준 다음 pass 해주고, data source type은 disk image로 해준다. 그다음 data source path는 분석하려는 이미지 파일을 올려주면되는데, 이번의 경우에는 이전에 만들어 두었던. E01 파일을 넣으면 됩니다. 이후 다 넘겨주면 아래와 같은 ..

안녕하세요. 1장에 이어서 디지털 포렌식에대해 지속적으로 알아보겠습니다. - 이미징과 마운트 디스크 이미징 : 디스크는 물리장비이기 때문에 파일시스템의 형태로 변환시키는 것 디스크 마운트 : 디스크 이미징된 파일을 분석에 사용하는 나의 컴퓨터에 이동시키는 것 메모리 덤프 : 켜져있는 컴퓨터를 수사할때 메모리 사용의 한순간을 캡쳐하여 파일로 변환시켜 나의 컴퓨터에 이동시키는 것 - 설치 프로그램 HXD : 파일의 HEX값을 보는 프로그램 https://mh-nexus.de/en/downloads.php?product=HxD20 Downloads | mh-nexus Downloads I am looking for new translators, if you want to help, here is a list ..

안녕하세요. 디지털 포렌식 기초관련하여 디지털 포렌식에대해 정리해보려고합니다. 디지털 포렌식 관련하여 인프런 영상을 시청중이며 관심있으신 분들은 접속하여 직접 보시는 것을 추천드립니다. https://www.inflearn.com/course/%EA%B8%B0%EC%B4%88-%EB%94%94%EC%A7%80%ED%84%B8-%ED%8F%AC%EB%A0%8C%EC%8B%9D/ [무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., - 강의 소개 | 인프런... www.inflearn.com - 디지털 포렌식이란? 디지털 포렌식이란 과학적으로 증명된 사실을 가지고 디지털 세계인..