우선 Volatility를 다운로드 하도록 하자. 예전 버전은 Python을 이용하여 실행하였는데 최근에 2.0 으로 버전업 되면서 Python 없이 단독으로 실행이 가능해졌다. Volatility : https://www.volatilesystems.com/default/volatility 이제 실행해 보도록 하자. 우선 예제 메모리 덤프 파일은 아래주소에서 다운로드 하도록 하자. 예제 메모리 덤프 파일 : http://www.cfreds.nist.gov/mem/memory-images.rar 우선 ‘-h’ 옵션으로 도움말을 보도록 하자. D:\Security Tools\Forensic\Memory Tools\volatility-2.0.standalone>volatility.exe -h Volatile Systems Volatility …
2011년 데프콘 포렌직 300번, 그리고 이번 8회 해킹방어대회 예선 1번 문제가 거의 유사했다. 지난 데프콘 때 아쉽게 못푼 문제였는데 그때 좀 더 코드를 다듬어 놓는다는걸 깜빡하고 있다 이번 기회에 작성하게 되었다. #!C:\Python27\Python.exe # -*- coding: utf-8 -*- # Code ByJJoon (2011-06-26) # 해킹방어대회 예선 1번 문제 풀이용 from datetime import datetime import sqlite3, sys # …
이번 첼린지는 메모리 덤프에 대한 분석인데, 처음 해보는거라 풀이를 참고했다. 우선 Volatility 툴을 처음 알게되었고 사용법을 어느정도 익히게 된거 같아 나름 뿌듯하다. http://www.honeynet.org/challenges/2010_3_banking_troubles 1. List the processes that were running on the victim’s machine. Which process was most likely responsible for the initial exploit? (2pts) 우선 프로세스 리스트는 Volatility (https://www.volatilesystems.com/default/volatility) 를 이용하여 확인할 수 있다. …
두번째 문제이다. 이번 문제는 평소에 자주 분석하던 유형의 문제라 재밌게 푼거 같다. URL : http://www.honeynet.org/challenges/2010_2_browsers_under_attack 1. List the protocols found in the capture. What protocol do you think the attack is/are based on? (2pts) 전체 패킷이 745개 이며 이중 553개가 TCP 프로토콜이며 이중 126개가 HTTP 프로토콜이다. 따라서 HTTP를 통해 공격이 이루어 졌을것으로 보인다. 확인은 Wireshark에서 …
예전부터 한번 풀어봐야지 하고 생각했던걸 이제서야 풀어보려고 한다. 영어의 압박이 있긴 하지만……. URL : http://www.honeynet.org/node/504 1. Which systems (i.e. IP addresses) are involved? (2pts) 1번 문제는 간단하게 어떤 시스템이 관여되어 있는지 확인하는 문제이다. Wireshark를 통해 Conversations 기능을 이용하여 확인하면 쉽게 확인할 수 있다. 대충 몇몇 패킷을 확인하니 공격자는 98.114.205.102 시스템이며 공격 받는쪽은 192.150.11.111 시스템이다. 2. …
네트워크 포렌직 퍼즐 #1 풀이입니다.http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim 1. . What is the name of Ann’s IM buddy?Sec558user1 SSL 패킷을 [TCP Follow Stream] 을 통해 뽑아보면 아래와 같이 대화명을 확인할 수 있다. 2. What was the first comment in the captured IM conversation?Here’s the secret recipe… I just downloaded it from the file server. Just copy to a …
네트워크 포렌직 #2 풀이 입니다. http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail http://forensicscontest.com/contest02/evidence02.pcap MD5 (evidence02.pcap) = cfac149a49175ac8e89d5b5b5d69bad3 1. What is Ann’s email address? [email protected] smtp로 필터 후 [Follow TCP Stream] 메뉴를 통해 확인할 수 있다. 2. What is Ann’s email password? 558r00lz BASE64로 인코딩 되어 있어 디코딩 하면 확인할 수 있다. 3. What is Ann’s secret lover’s email address? [email protected] 메일을 …
sans 사이트를 보다 네트워크 포렌직 문제가 올라와 있어 한번 풀어 봅니다. 문제는 아래 사이트에서 확인하실 수 있습니다. 문제 : http://forensicscontest.com/2009/12/28/anns-appletv 1. What is the MAC address of Ann’s AppleTV? Source: Apple_fe:07:c4 (00:25:00:fe:07:c4) 2. What User-Agent string did Ann’s AppleTV use in HTTP requests? User-Agent: AppleTV/2.4 3. What were Ann’s first four search terms on the …