전체 글 (638) 썸네일형 리스트형 [메모리 포렌식] GrrCON 2015 #10 공격자가 옮긴 도구를 찾는 문제입니다. 먼저 멀웨어가 담긴 프로세스인 iexplore.exe 프로세스를 memdump 플러그인으로 덤프하고, strings 프로그램으로 txt 파일로 저장해줍니다. (앞 문제 참고) frontdesk로 검색하다 보면 위와 같이 임시 폴더인 Temp 폴더에 담긴 파일들이 나옵니다. .exe 형식이고, g로 시작하지 않으므로 nbtscan.exe, Rar.exe, wce.exe 3개의 실행파일을 얻을 수 있습니다. [메모리 포렌식] GrrCON 2015 #9 관리자 계정의 NTLM 암호 해시를 구하는 문제입니다. NTLM 암호 정보는 volatility의 hashdump 플러그인으로 확인할 수 있습니다. Admin의 NTLM 암호 해시를 hashdump 플러그인을 통하여 구할 수 있습니다. [메모리 포렌식] GrrCON 2015 #8 이번 문제는 volatility의 mftparser 플러그인으로 MFT를 분석해보겠습니다. mftparser로 출력된 MFT를 분석하다 보면 User name 중 zerocool이라는 이름을 발견할 수 있습니다. zerocool이라는 이름은 1995년 개봉한 영화 Hackers에 등장하는 주인공의 사이버 공간 닉네임이라고 합니다. 고로 이 해커가 나오는 영화의 이름은 Hackers입니다. [메모리 포렌식] GrrCON 2015 #7 책에서 위 지문과 같은 내용은 멀웨어의 뮤텍스를 생각해볼 수 있다고 합니다. 뮤텍스는 스레드들 간에서 공유가 배제되는 객체라고 합니다. volatility의 handles 플러그인을 통하여 뮤텍스 정보를 확인해 볼 수 있습니다. -t 옵션은 오직 특정한 타입의 handles만 표시해준다고 합니다. 그러므로 -t 옵션을 사용하여 Mutant 옵션만 표시하도록 해주었습니다. Mutant 타입의 handles들을 확인해보니 멀웨어가 fsociety0.dat라는 파일명을 사용하는 걸 확인할 수 있습니다. [메모리 포렌식] GrrCON 2015 #6 비밀번호를 찾아야 하는 문제입니다. #5번에서 찾은 pid가 2996인 프로세스를 memdump 플러그인으로 덤프해보겠습니다. -p 옵션으로 pid를 지정해주고, -D 옵션으로 저장할 위치를 설정해줍니다. 그리고 strings 프로그램으로 가시성이 좋게 변환해줍니다. #5에서의 레지스트리 키인 MrRobot을 검색해보면, Password1234 형식의 문자열인 GrrCon2015가 나옵니다. 이전 1 ··· 87 88 89 90 91 92 93 ··· 128 다음
