WARGAME 문제 풀이14 GrrCON 2015 #4 #1~#3과 이어지는 문제다. 악성코드에 인젝션된 프로세스의 PID를 알아보자. volatility를 이용해 pstree로 프로세스 목록을 출력해보자. 이전 과정들은 아래 링크들 참고 process explorer을 통해 프로세스들을 본 결과 vol.py를 통해 프로세스를 출력한 결과 내 로컬 컴퓨터에선 iexplorer.exe가 트리 구조이나 vol.py를 통해 살펴봤을 땐 독립적으로 실행 중이다. 즉 악성코드가 인젝션되어 강제적으로 실행된 것이라고 판단 PID는 2996이다 참고: hec-ker.tistory.com/204 ctf-d GrrCON 2015 #4 이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #3 ctf-d GrrCON 2015 #3 이전 글.. 2021. 5. 5. GrrCON 2015 #3 메모리 포렌식을 이용하여 사용된 악성 코드의 이름을 알아내는 문제다. 메모리 덤프 파일에서 AllSafeCyberSec을 서치해보자 아무 결과가 안 나왔다. zeus도 마찬가지였다. 앞에 문제에서 공격자가 직원들의 이메일로 첨부했던 파일인 AnyConnectInstaller.exe의 파일을 통해 분석해보기로 했다. filescan | findstr 명령어를 통해 AnyConnectInstaller.exe 파일을 찾아보고 주소까지 알아낼 수 있었다. 위에서부터 메모리 주소를 이용해 dumpfile을 만들어주었다 그중에서 3df1cf00 메모리 주소에 있는 프로그램을 덤프 파일로 만들자마자 알약에서 경고가 뜬다. 이를 VirusTotal 사이트로 분석해보자. 이때 분석을 해주기 위해선 알약 실시간 감지를 잠.. 2021. 4. 30. GrrCON 2015 #2 지난 번에 풀었던 GrrCON 2015 #1과 연결되는 문제로 보인다. 문제 파일도 같다. 메모리 덤프 파일 뜨는 방법은 지난 포스팅에 자세히 설명해놨으므로 패스하겠다. mikrkosmos97.tistory.com/80 GrrCON 2015 #1 문제의 설명은 다음과 같다 일단 다운받아보자. 메모리 포렌식인 만큼 볼라를 사용해보자 먼저 imageinfo 명령어를 통해 profile 정보를 얻는다 vol.py -f "vmss경로명\파일" imageinfo 그러자 다음과 같이 mikrkosmos97.tistory.com 저번에 따놨던 메모리덤프 파일을 그대로 사용할 예정이다. 메모리 덤프 파일을 열고 문제에서 준 키 형식인 .exe를 서치해봤다. 다양한 결과가 나왔지만 중간부터 계속해서 반복해서 나오는 An.. 2021. 4. 30. ctf-d 우리는 이 파일에 플래그를... 문제를 클릭하면 다음과 같은 화면이 나온다 플래그가 숨겨져 있는 파일로 보인다. 먼저 HxD를 통해 이것을 열어봤다. 얻을 수 있는 것이 없다. 리눅스를 통해 FILE을 분석해보기로 했다 먼저 file 명령어를 통해 파일의 종류를 확인해주고 파일의 속성값을 확인해주었다. 이를 통해 gzip으로 압축된 데이터라는 것을 알게 되었다. 현재 flag 파일을 파일의 형태인 flag.gz란 이름으로 바꿔주어 형식을 명확하게 해준다. 이후 gzip 파일을 압축해제하는 단계가 필요하다 gunzip 명령어를 통해서 gzip 파일을 압축해제할 수 있다. 압축해제한 파일을 cat 명령어로 파일의 내용을 확인해보자. 정답은 ABCTF{broken_zipper} 기존에 풀었던 멀티미디어 분야 문제랑 형식이 달라서 재미있었다 굿 2021. 4. 30. 이전 1 2 3 4 다음
