WarGame (68) 썸네일형 리스트형 [Crescendo] LNK Problem 03 파일을 다운받아 압축을 풀면Mozilla Firefox.lnk 파일이보인다.사용할 Tool은 010 Editor이다.볼륨의 불륨 일련 번호를 구하는 문제이다. 위치 : 0x00000181 ~ 0x00000184 (4byte) Answer : 600F-351D [Crescendo] LNK Problem 02 파일을 다운받아 압축을 풀면 10개의 LNK파일들이보인다.사용할 Tool은 010 Editor이다.문제는 숨김 속성을 가진 것의 크기를 물어본다.Templates는 LNK로 해놓고 파일을 보게되면 이렇게 뜬다.숨긴속성을 볼려면 File Attributes 부분을 참조 하면된다. 위치는 0x00000018 ~ 0x0000001B (4byte) 10.lnk 파일을 보면 Hidden 값이 1이다. 참조https://msdn.microsoft.com/en-us/library/dd871338.aspx Value Description FILE_ATTRIBUTE_READONLY 파일 또는 디렉토리가 읽기 전용 FILE_ATTRIBUTE_HIDDEN 파일 또는 디렉토리가 숨김파일 FILE_ATTRIBUTE_SYSTEM.. [Crescendo] LNK Problem 01 파일을 다운받아 압축을 풀면 10개의 LNK파일들이보인다.문제를 풀기위해 사용할 Tool은 010 Editor이다. 10개의 파일을 010 Editor로 열고 Template은 LNKTemplate.bt 사용한다.LNK파일을 정말 손쉽게 볼수있다. 문제에서는 "이동식 디스크"라는 말이 있는데 Drive Type을 보면되겠다.LinkInfo - VolumeID - Drive Type 을 보면 된다. Drive Type Flag name Value Description DRIVE_UNKNOWN 0x00000000 알 수없는 드라이브 유형 DRIVE_NO_ROOT_DIR 0x00000001 루트 경로가 유효하지 않음 DRIVE_REMOVABLE 0x00000002 드라이브 유형은 제거 가능 (이동형 저장장치).. [Crescendo] Event Log Problem 03 파일을 다운받아 압축을 해제하면 5개의 이벤트로그 파일이 있다.1번 문제를 보면 설치된 "비인가 프로그램"의 실행파일 이름이다.이 프로그램은 "클라우드 공유프로그램"인데 이것을 찾기위해서는 Application 로그파일먼저 봤다.그중에서도 이부분에서 설치된 내용이 나올꺼같다. 찾다보면 흔히 쓰는 Dropbox가 보인다.1,2번 문제가 한번에 풀린다. 3번문제는 "방화벽 예외에 등록된 시점" 인데, "Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall" 이벤트로그를 본다.이벤트 ID가 2004(Windows 방화벽 예외 목록에 규칙이 추가되었습니다.)인 부분만 필터링을 걸고 "Dropbox"를 찾는다. Answer : Dropbox_20.. [Crescendo] Event Log Problem 02 파일을 다운받아 열면 이벤트 뷰어 창이 뜬다.1번 문제를 보면 "첫 번째 원격 로그인" 성립 시점이다.작업 범주가 로그온 부분에 들어가서 이벤트 ID가 4624(계정이 성공적으로 로그온되었습니다.)인 부분을 찾는다.다음에 볼꼐 로그온 유형이다. 이부분을 통해 어떻게 접속했는지 찾아야한다. 로그온 유형 로그온 제목 Description 2 대화형 사용자가 이 컴퓨터에 로그온했습니다. (LogMeIn, TeamView, KVM 포함) 3 네트워크 사용자 또는 컴퓨터가 네트워크상의 컴퓨터에 로그온했습니다. (파일 공유, IIS 접속 등) 4 배치 사용자가 직접 개입하지 않고 사용자를 대신하여 프로세스가 실행되는 배치 서버에 의해 배치 로그온 유형이 사용됩니다. 5 서비스 서비스 제어 관리자에 의해 서비스가 시.. [Crescendo] Event Log Problem 01 파일을 다운받아 열면 이벤트 뷰어 창이 뜬다.1번 문제를 보면 가장 먼저 생성된 "일반"사용자 계정이름이다.작업 범주가 사용자 계정관리 부분에 들어가서 이벤트 ID가 4720(사용자 계정을 만들었습니다.)인 부분을 찾는다.밑에 그림과 같이 3개가 있는데 문제에도 강조 되어 있듯이 "일반"이다. "가장 먼저 생성된"것부터 보자.보안 ID(SID) 부분을 보게되면 숫자가 젹혀져 있는데 각 값이 의미하는 것은 S-1 : 시스템은 윈도우5-21 : 시스템이 도메인 컨트롤러 이거나 단독 시스템790723840-693588307-315668192 : 시스템의 고유한 숫자 사용자 식별ID(고유값)500 : administrator501 : Guest502 : 키 배포 센터 (KDC) 서비스에서 사용 되는 사용자 계정.. [Lord of the BOF] cobolt small buffer 문제이다. gdb를 이용해서 열어보면 버퍼[16] + SFP [4] + RET [4] 이렇게된다.사용할수 있는 공간은 20byte가 된다. 쉘코드를 넣을 만한 공간이없어 환경변수를 이용해서 풀었다. export YOON=`perl -e 'print "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'` gdb 안에 들어가 break point를 main+0으로 해놓고 실행을 시킨다.(실행을 시켜야 라이브러리함수, 환경변수등을 적재된다.) 이러한 주소값에 들어가져있는데 바로 사용하지는 못하고 저 주소값에서 "YOON="(5byte) 만큼 더해준다. 그리.. [Crescendo] Prefetch Problem 03 알집을 해제하면 프리패치 파일이 세개가 나온다. 첫 4byte는 Format version을 나타내는데 값에 따른 version은 이렇다. Value Windows version 17 (0x11) Windows XP, Windows 2003 23 (0x17) Windows Vista, Windows7 26 (0x1a) Windows 8.1 30 (0x1e) Windows 10 각 버전마다 조금씩 값의 위치가 다르다. 참조http://www.forensicswiki.org/wiki/Windows_Prefetch_File_Format 문제에서는 Activate count(Execution count or run count) 만 물었기 때문에 찾아보면 Windows xp 는 0x0090 ~ 0x0093 까지 .. 이전 1 2 3 4 5 6 7 8 9 다음
