Category: Forensic

Volatility를 이용하여 Memory Dump에서 윈도우 패스워드 찾기

우선 Volatility를 다운로드 하도록 하자. 예전 버전은 Python을 이용하여 실행하였는데 최근에 2.0 으로 버전업 되면서 Python 없이 단독으로 실행이 가능해졌다.Volatility : https://www.volatilesystems.com/default/volatility 이제 실행해 보도록 하자. 우선 예제 메모리 덤프 파일은 아래주소에서 다운로드 하도록 하자.예제 메모리 덤프 파일 : http://www.cfreds.nist.gov/mem/memory-images.rar 우선 ‘-h’ 옵션으로 도움말을 보도록 하자.[code lang-bash]D:\Security Tools\Forensic\Memory Tools\volatility-2.0.standalone>volatility.exe -hVolatile Systems Volatility Framework 2.0Usage: Volatility …

Iphone Tracker (제 8회 해킹방어대회 예선 1번)

2011년 데프콘 포렌직 300번, 그리고 이번 8회 해킹방어대회 예선 1번 문제가 거의 유사했다.지난 데프콘 때 아쉽게 못푼 문제였는데 그때 좀 더 코드를 다듬어 놓는다는걸 깜빡하고 있다 이번 기회에 작성하게 되었다. [code lang-python]#!C:\Python27\Python.exe# –– coding: utf-8 –– # Code ByJJoon (2011-06-26)# 해킹방어대회 예선 1번 문제 풀이용 from datetime import datetimeimport sqlite3, sys # kml은 구글어스 파일# …

Challenge 3 of the Forensic Challenge 2010 – Banking Troubles

이번 첼린지는 메모리 덤프에 대한 분석인데, 처음 해보는거라 풀이를 참고했다. 우선 Volatility 툴을 처음 알게되었고 사용법을 어느정도 익히게 된거 같아 나름 뿌듯하다.http://www.honeynet.org/challenges/2010_3_banking_troubles 1. List the processes that were running on the victim’s machine. Which process was most likely responsible for the initial exploit? (2pts)우선 프로세스 리스트는 Volatility (https://www.volatilesystems.com/default/volatility) 를 이용하여 확인할 수 있다.그리고 배치파일 (http://volatility.googlecode.com/files/vol-Report%28win%29.zip) …

Challenge 2 of the Forensic Challenge 2010 – browsers under attack

두번째 문제이다. 이번 문제는 평소에 자주 분석하던 유형의 문제라 재밌게 푼거 같다.URL : http://www.honeynet.org/challenges/2010_2_browsers_under_attack 1. List the protocols found in the capture. What protocol do you think the attack is/are based on? (2pts)전체 패킷이 745개 이며 이중 553개가 TCP 프로토콜이며 이중 126개가 HTTP 프로토콜이다.따라서 HTTP를 통해 공격이 이루어 졌을것으로 보인다.확인은 Wireshark에서 "Protocol Hierarchy" 메뉴를 통해 …

Challenge 1 of the Forensic Challenge 2010 – pcap attack trace

예전부터 한번 풀어봐야지 하고 생각했던걸 이제서야 풀어보려고 한다. 영어의 압박이 있긴 하지만…….URL : http://www.honeynet.org/node/504 1. Which systems (i.e. IP addresses) are involved? (2pts)1번 문제는 간단하게 어떤 시스템이 관여되어 있는지 확인하는 문제이다.Wireshark를 통해 Conversations 기능을 이용하여 확인하면 쉽게 확인할 수 있다.대충 몇몇 패킷을 확인하니 공격자는 98.114.205.102 시스템이며 공격 받는쪽은 192.150.11.111 시스템이다. 2. What can you find …

Puzzle #1: Ann’s Bad AIM

네트워크 포렌직 퍼즐 #1 풀이입니다.http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim 1. . What is the name of Ann’s IM buddy?Sec558user1 SSL 패킷을 [TCP Follow Stream] 을 통해 뽑아보면 아래와 같이 대화명을 확인할 수 있다. 2. What was the first comment in the captured IM conversation?Here’s the secret recipe… I just downloaded it from the file server. Just copy to a …

Puzzle #2: Ann Skips Bail

네트워크 포렌직 #2 풀이 입니다.http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail http://forensicscontest.com/contest02/evidence02.pcapMD5 (evidence02.pcap) = cfac149a49175ac8e89d5b5b5d69bad3 1. What is Ann’s email address?sneakyg33k@aol.com smtp로 필터 후 [Follow TCP Stream] 메뉴를 통해 확인할 수 있다. 2. What is Ann’s email password?558r00lz BASE64로 인코딩 되어 있어 디코딩 하면 확인할 수 있다. 3. What is Ann’s secret lover’s email address?mistersecretx@aol.com 메일을 두번 발송했으나 첫번째 사람에게는 약속을 …

Puzzle #3: Ann’s AppleTV

sans 사이트를 보다 네트워크 포렌직 문제가 올라와 있어 한번 풀어 봅니다. 문제는 아래 사이트에서 확인하실 수 있습니다. 문제 : http://forensicscontest.com/2009/12/28/anns-appletv 1. What is the MAC address of Ann’s AppleTV?Source: Apple_fe:07:c4 (00:25:00:fe:07:c4) <img src="http://jjoon.net/page/wp-content/uploads/1/1057254389.png" class="aligncenter" width="626" height="164" alt="사용자 삽입 이미지" /> 2. What User-Agent string did Ann’s AppleTV use in HTTP requests?User-Agent: AppleTV/2.4 <img src="http://jjoon.net/page/wp-content/uploads/1/1346440778.png" class="aligncenter" …