본문 바로가기

분류 전체보기

(97)

2023 DEBUG CTF 후기 2023 DEBUG CTF 후기 3.01 12:00 ~ 3.03 24:00까지 진행한 이번 CTF에는 총 9개의 forensic 문제와 2개의 misc, 1개의 reversing문제를 내게 되었습니다. 학교를 다니면서, 그리고 지금까지 공부하면서 얻은 지식들을 활용해 지금까지 했던 CTF중 가장 많은 준비시간을 들였습니다. 그 결과 제가 생각하기에 2021, 2022보다 문제의 질이 급격히 올라간 느낌이 들었습니다. 500점, 700점, 1000점은 각각 1,2,3 단계의 문제였고 1단계 문제중 foren, meta dream, Super Cat은 3 solves, ZIP은 1solve, Easy forensic은 1단계 문제에서 유일한 0 solve문제가 되었습니다. 2단계 문제중에서 Expert PN..

CVE-2018-5955,GitStack 취약점활용 침해사고 분석 gitstack mem writer : Kusti used sites : https://www.base64decode.org/ , https://base64.guru/ used tools : vmware, powershell, volatility2, notepad++, hxd pslist info 0x86995910 Sysmon.exe 3568 476 10 190 0 0 2019-07-06 13:53:52 UTC+0000 //sysmon 확인 0x88671d40 mimikatz.exe 1392 3972 1 100 1 0 2019-07-06 14:01:04 UTC+0000 //미미카츠 사용 0x86c303c8 cmd.exe 2956 3044 0 -------- 1 0 2019-07-06 13:56:57 U..

hidden 보호되어 있는 글입니다.

Digital Forensic 법률 관련 Digital Forensic 법률 관련 Writer : Kusti 디지털 증거와 관련된 법률 관련 **위법수집증거 배제원칙** 수집 과정에서 위법행위가 있었다면 해당 증거의 증거력을 배제한다. 형사소송법 308조 2항 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다. 영장에 명시되어있는 범위 외에서의 증거 수집, 불법 프로그램 사용, 강압 **독수독과이론** 위법하게 수집된 증거에 의해 발견/수집한 증거는 증거능력을 부정한다. 영장 범위 외의 장소에서 수집한 컴퓨터에서 발견한 증거를 예로 들 수 있다. **전문법칙** 전문증거의 예 경험자가 본인의 경험사실을 서면에 기재하는 경우 경험사실을 들은 타인이 서면에 기재하는 경우 원진술자가 공판 기일이나 심문 기일에 행한 진술 외의 진술 전문..

GPT 구조 및 실습 Writer : Kusti 준비물 : 4GB USB 목적 : 최근들어 많이 사용되고 있는 GPT에 대해 정리 및 실습 실습 파일 생성 과정 4GB크기의 USB를 실습 목적에 맞춰 준비 cmd에서 다음 명령어 사용(단일 GPT, NTFS파일 구조) diskpart list disk select disk [usb 번호] clean convert gpt create partition primary size = [크기] list partition select partition [파티션] format fs=ntfs quick 쓰기방지 설정, FTK Imager를 이용해 이미징 이미징한 파일을 대상으로 분석 진행 기본 정보 MBR과 GPT의 차이점 MBR 주 파티션을 4개까지 생성 가능 디스크 용량을 최대 2TB까..

침해사고분석 team viewer backdoor Writer : Kusti Used Tools : Volatility2, SysinternalsSuite volatility를 사용해 해당 .vmem파일을 분석한다. imageinfo pstree SkypeC2AutoUpd라는 프로세스가 독립적으로 돌아가고 있는것을 알 수 있다. PID : 1364 해당 PID를 사용해 memdump를 한다. cmdline cmdline에서 PID를 통해 SkypeC2AutoUpdate.exe라는 파일 이름과 해당 파일의 경로를 알 수 있다. 파일 이름 : SkypeC2AutoUpdate.exe 경로 : "C:\Users\PHILLI~1.PRI\AppData\Local\Temp\SkypeC2AutoUpdate.exe" filescan filescan에서 해당 파일의 오프..

Win10 USB, Volume 관련 Writer : Kusti USB 설치 과정 컴퓨터에 USB를 꽂으면 Bus Driver는 PnP관리자에게 장치의 정보를 알려준다. 커널 PnP관리자는 장치에 대한 정보를 Device Class ID로 구성, 레지스트리에 설치되었는지 확인한다. Driver가 설치되었으면 커널 PnP는 펌웨어에 정보를 요청하고 받은 정보를 유저 PnP에게 넘겨준다. 펌웨어는 idVender, idProduct등의 정보가 담겨있고 이를 기반으로 레지스트리에 기록하는 것 같다. 유저 PnP에서는 드라이버를 설치, 레지스트리에 기록하고 설치과정을 다음과 같은 로그에 기록한다. C:\Windows\INF\setupapi.dev.log HKLM\SYSTEM\ControlSet001\Enum\USB, HKLM\SYSTEM\Contr..

Rega Wirter : Kusti 레지스트리 분석을 도와주는 도구입니다. Rega 파일-레지스트리 파일 수집을 통해 레지스트리 수집이 가능하다. 수집할때는 수집대상 파일들이 위치할 디렉토리의 경로를 설정해야 한다. 위 파일들을 분석하면 Rega안에 도구상자가 생기고 다음 항목들을 분석 할 수 있다.

이전 1 2 3 4 5 ··· 13 다음

티스토리툴바