전체 글 (638) 썸네일형 리스트형 [메모리 포렌식] GrrCON 2015 #20 #19번까지 cmdscan 명령어로 어떻게 압축 파일을 생성하였는지를 알아보았습니다. 이번에는 어떤 파일이 압축되었는지를 살펴보아야 합니다. conhost.exe 실팽파일은 윈도우에서 실행한 명령어, 입출력 결과 등의 정보를 보관하므로 이를 활용하여 보겠습니다. 먼저 cmdscan 플러그인으로 conhost.exe 프로세스의 PID를 확인하여 보겠습니다. PID는 3048로 확인됩니다. memdump 플러그인을 통하여 파일을 복구해 보겠습니다. 그리고 strings 프로그램을 사용하여 txt 파일로 저장해 주겠습니다. 3048.txt를 열어보겠습니다. 3048.txt에서 .rar로 검색하여서 나오는 내용을 분석해보면, txt 파일 3개가 나옵니다. 이 3가지 파일들이 답이 됩니다. [메모리 포렌식] GrrCON 2015 #19 #18번 문제에서 cmdscan 플러그인을 통하여 rar 명령어로 압축한 내용을 살펴보았습니다. cmdscan 결과를 보면 0xf24d0에 담긴 문장에서 rar 파일의 이름을 구할 수 있었습니다. [메모리 포렌식] GrrCON 2015 #18 공격자가 암호화하여 압축했다고 하였으니, 어떤 명령어를 사용했는지 cmdscan 플러그인을 사용해보겠습니다. 공격자가 사용한 명령어들이 나옵니다. rar 명령어를 사용하여 압축을 진행했나 봅니다. 그러므로 0xf24d0에 저장된 rar 명령어를 사용한 문장에서 답을 구할 수 있습니다. [메모리 포렌식] GrrCON 2015 #17 이번 문제부터는 Target2-6184fe9f.vmss 파일로 진행합니다. 파일을 다운받고 volatility 폴더에 넣어줍시다. imageinfo 플러그인으로 메모리 정보를 확인해 보겠습니다. target2 파일도 Windows 7 운영체제를 사용합니다. 공격자가 프론트데스크 컴퓨터로 다른 컴퓨터에 접속하여 덤프하였다고 하니, cmdscan 플러그인으로 사용한 명령어를 확인해 보겠습니다. 공격자는 C:\Users 폴더에 들어간 뒤 wce.exe 프로그램의 결과를 gideon/w.tmp에 저장했습니다. 그러므로 w.tmp 파일을 덤프해야 합니다. 먼저 filescan 플러그인으로 gideon/w.tmp의 오프셋 값을 알아보겠습니다. 오프셋 값을 구했으니 dumpfiles 명령어로 덤프해 보겠습니다. 현재.. [메모리 포렌식] GrrCON 2015 #16 공격자가 원격 접근 방식을 사용했다고 합니다. netscan 플러그인을 사용해 보겠습니다. mstsc.exe 프로세스가 보입니다. mstsc.exe 프로세스는 Windows에서 사용하는 원격 데스크탑 제어 프로그램이므로 이 프로세스가 답이 됩니다. 이전 1 ··· 85 86 87 88 89 90 91 ··· 128 다음
