본문 바로가기

전체 글

(68)
[Crescendo] Network Problem 02 파일을 다운받아 압축을 풀면 패킷 파일이 보인다.사용한 Tool은 NetworkMiner를 사용하였다. NetworkMiner를 실행시켜 패킷을 열었다. 이때 패킷 확장자는 .pcap 파일이어야한다.(wireshark로 패킷을 연다음 .pcap으로 저장을 한다.)Parmethers로 들어가 검색한 키워드를 찾아본다. query부분만 따로봐서 문자열을 찾을수 있었고 자세한 결과값을 보기위해 GET 부분도 본다. /m?u=http%3A%2F%2Fwww.naver.com%2F&e=https%3A%2F%2Fsearch.naver.com%2Fsearch.naver%3Fsm%3Dtab_hty.top%26where%3Dnexearch%26oquery%3Dforensics_site%26ie%3Dutf8%26query%..
[Crescendo] Network Problem 01 파일을 다운받아 압축을 풀면 패킷 파일이 보인다.사용한 Tool은 wireshark를 사용하였다. Tag를 보게되면 ARP Network Spoofing이 보인다.이걸 보고 좀더 ARP Spoofing 공격이라 생각을 했는지도 모르겠다. wireshark로 패킷을 열어보고 protocol 별로 정렬을 했다.단순한 ARP 나타낸다. 이것만 봐서는 ARP Spoofing 공격이라는 걸 모른다.(192.168.208.1 IP를 가진 PC가 192.168.208.2 너는 누구니??) 죽죽 내려가다보면 129 IP를 가진 PC가 192.168.208.x 대역을 가진 PC들에가 물어보고 있다. 129 IP를 가진 PC의 MAC은 00:0c:29:a5:33:5c140 IP를 가진 PC의 MAC은 00:0c:29:84..
[Crescendo] Memory Problem 03 파일을 다운받아 압축을 풀면 .raw 파일이 보인다.사용한 Tool은 volatility windows 버전인 vol.exe를 사용하였다. vol.exe -f WINDOWS-PC-20160313-081828.raw imageinfo vol.exe -f WINDOWS-PC-20160313-081828.raw --profile=Win7SP1x86 pstree svchost.exe가 단독으로 돌고있다.(svchost.exe - DLL에서 실행되는 다른 프로세스의 호스트 역할을 하는 일반 프로세스이므로 이 프로세스 항목은 둘이상 표시될 수 있음) svchost.exe가 service.exe 하위에서 실행되지 않고 explorer 밑에서 실행이 되고 있거나 엉뚱한 프로세스 밑에서 작동을 한다면 바이러스일 가능성이..
[Crescendo] Memory Problem 02 파일을 다운받아 압축을 풀면 .raw 파일이 보인다.사용한 Tool은 volatility windows 버전인 vol.exe를 사용하였다. vol.exe -f WINDOWS-PC-20161011-145327.raw imageinfo vol.exe -f WINDOWS-PC-20161011-145327.raw --profile=Win7SP1x64 netscan(netscan - 활성화 상태의 Network 연결정보를 보여준다. Window Vista, 7, 2008 server에서만 사용가능) Owner가 이상한걸 발견했다.(State를 보게되면 SYN_SENT인데 local에서 연결을 요청한 상태다. 의도치 않게 이런 상태가 일어난거면 의심을 해볼만한 상황인거 같다.) LISTEN: 요청을 받을 수 있도록..
[Crescendo] Memory Problem 01 파일을 다운받아 압축을 풀면 .raw 파일이 보인다.사용한 Tool은 volatility windows 버전인 vol.exe를 사용하였다. vol.exe -f WINDOWS-PC-20161011-135027.raw imageinfo vol.exe -f WINDOWS-PC-20161011-135027.raw --profile=Win7SP1x64 pstree(부모 프로세스와 자식프로세스 관계를 간편하게 볼려고 pstree 명령어를 사용 하였다.) Pid(프로세스 ID) PPid(부모 프로세스 ID) Thds(Number of Threads) Hnds(Number of Handles) Time(process 시작 시간) 윈도우 기본 프로세스 explorer.exe- 작업 표시줄, 바탕화면 등으로 표시되는 사용..
[Crescendo] Shim Cache Problem 01 파일을 다운받아 압축을 풀면 5개의 파일들이 보인다.사용한 Tool은 REGA를 사용했다. "학생들이 즐긴 것으로 의심되는 게임의 이름" 을 찾는 문제라서SOFTWARE를 먼저 봤다. SAM(Security Account Manager) : 사용자/그룹 계정에 대한 관리SECURITY : 보안 정책(주로 로컬 보안 정책)SOFTWARE : 윈도우에 설치된 응용프로그램에 대한 정보SYSTEM : 부팅 시 부팅후에도 필요한 드라이버, 서비스, 운영체제 설정값COMPONENTS : 설치된 Components와 관련된 정보 Answer : starcraft
[Crescendo] LNK Problem 05 파일을 다운받아 압축을 풀면 5개의 LNK파일들이 보인다.복사되지 않은 대상의 크기를 찾는 문제다.이 문제를 풀기 위해서는 MAC Time에 대해서 알고 있어야 한다. MAC Time 개념 Modification Time (mtime)파일의 내용이 마지막으로 수정 된 시간을 나타낸다.대부분 파일 시스템에서 기존 데이터와 새롭게 기록된 데이터를비교를 하지 않기 때문에, 기존 데이터와 동일한 데이터를 넣어도 시간이 업데이트 됨. Access Time (atime)파일이 마지막으로 읽기 위해 열린 시각을 나타낸다.실행중인 프로그램은 파일을 연상태로 있을수 있어서, 파일을 연 시간과 데이터가마지막으로 로드된 시간과는 다를 수 있다.컴퓨터 구성에서 데이터를 기록하는것보다 읽는것이 더 빠르기 때문에 읽기 작업마다 ..
[Crescendo] LNK Problem 04 파일을 다운받아 압축을 풀면 85개의 LNK파일들이 보인다.파일을 종합적으로 분석을 하여 관리자(Administrator)이외의 사용자 계정을 알아내는 문제다.그래서 하나씩 열어 가면서 봤다.16.lnk 파일을 보면 경로가 C:\Documents and Settings 인 파일이 있다. Window xp에서는 C:\Documents and Settings\[Username]Window xp 이후 버전에서는C:\Users\[Username] 경로를 사용하고 있다.문제의 답을 쉽게 찾을수 있다. 근데 Document and Setting 폴더가 없어진건 아니다. (버전 window 10) 폴더가 Reparse Point로 되어있다. (FTK imager) (WinHex) 파일을 보게되면 C:\Users 부분..