Forensics/CTF11 [Memory] GrrCON 2015 #3 su0-0su.tistory.com/82 [CTF] GrrCON 2015 #1,2 #1 vmss는 가상 머신 확장 집합으로, 여러 VM을 손쉽게 생성하고 관리할 때 리소스(트래픽) 변화에 따라 자동으로 애플리케이션 크기 조정이 필요할 때 사용한다고 한다. vmss는 volatility를 사용해 이 su0-0su.tistory.com * 이전 포스팅과 이어짐 이전 포스팅에서 찾았던 이메일에 첨부한 파일이 직원들의 컴퓨터에 저장되어 있는 것을 확인했다. 해당 파일이 악성코드일 확률이 매우 높으니 복구해서 바이러스 토탈에 확인해보자. 먼저 filescan과 findstr으로 복구하고자 하는 AnyConnectInstaller.exe < 얘를 찾아보자. vol.py -f [파일명] --profile=[프로파일명.. 2021. 4. 2. [Memory] GrrCON 2015 #1,2 #1 vmss는 가상 머신 확장 집합으로, 여러 VM을 손쉽게 생성하고 관리할 때 리소스(트래픽) 변화에 따라 자동으로 애플리케이션 크기 조정이 필요할 때 사용한다고 한다. vmss는 volatility를 사용해 이미지 분석이 가능하다. vol.py –f [파일 이름] imageinfo 아마 아나콘다 설치 때문에 좀 꼬여서.. 오류가 엄청 나지만 기다리다 보면 프로파일 정보를 얻을 수 있다. Profile : Win7SPx86 vol.py -f [파일명] --profile=[프로 파일명] pstree/psscan/pslist 역시 오류가 엄청 나지만 기다리다 보면 프로세스 정보를 확인할 수 있다. 메일 관련한 프로세스를 못 찾고 있었는데 다 대문자인 프로세스가 하나 의심스럽다. 검색해보니 Outlook... 2021. 4. 2. [Network] DefCoN#21 #2 이번에 HTTP 기록을 살펴보는데 메일 기록이 있었다. [File]-[Export Objects]-[HTTP] Betty와 Greg이 메일로 메시지를 주고받았을 수도 있다는 생각이 들었음 서로 주고받았다면 문자열에 이름이 남았을 수도 있을 것 같아 Ctrl + F 하고 String으로 선택한 다음에 Betty를 검색해주었다. 결과가 나왔다! 기록 중 하나에 Follow TCP Stream을 해서 내용을 살펴보니 깨진 메일 기록이 남아있다. 무슨 소린지 모르겠어서 다른 도구를 사용해서 봤다. Networkminor는 분할하여 보낸 패킷들을 다시 재구성해서 보여주기 때문에 분석에 용이하다고 한다. 이런. 베티가 만나기로 한 날에 안나갔나보다. 근데 친구 없이 나오랜다. 그리고 비밀번호를 주고 만나기를 기대한.. 2021. 4. 1. [Network] DefCoN#21 #1 검색 기록에서 자꾸 이질 때문에 뒤진댄다.. 뭔가 싶어서 찾아봤는데 비디오 게임 이래서 아~ 함 TCP Stream에서 찾아보다가 BETTY와 Greg가 대화한 흔적을 찾았다. 뒤에 암호화되어있길래 HTML 디코딩해줬다. 둘이 수요일 오후 2시에 만나기로 한 것을 알게 되었다. 근데 Greg이 누구지? FLAG : wednesday 2021. 4. 1. [Multimedia] 제 친구의 개가 바다에서… 번역체로 쓰인.. 맥락없는 문제가 있다. hidden.jpg를 다운받아 확인해 보니 지나치게 밝은 사진이 하나 있다. 명도를 조절해서 플래그 값을 확인하는 문제 같음 pixlr.com/x/#editor ↑ 온라인 사진 편집 툴이 있길래 여기에 사진 넣고 명도 조절해보니 플래그가 나왔다. FLAG : tjctf{th3_f0x_jump3d_0v3r_m3} 2021. 4. 1. 이전 1 2 다음
