본문 바로가기

정보보안

 (12)
volatility 플러그인 정리 (SKS 포렌식 스터디 week3) 이번에는 메모리 포렌식 도구인 volatility에 대해 사용법과 플러그인들을 정리해보겠습니다. 원래는 문제를 풀면서 사용법을 하나씩 익히려고 했지만 다른 도구들보다 플러그인이 훨씬 많아서 먼저 정리해보고 문제를 푸는 게 나을 것 같습니다.  volatility란 메모리 분석 도구로 https://volatilityfoundation.org/ 에서 다운받을 수 있습니다. volatility는 기본적으로 python2 버전을 사용하는데 2021년에는 python3을 사용하는 volatility3 버전도 나왔다고 합니다. 저는 volatility3 버전을 먼저 깔아 문제를 풀어봤는데 플러그인 관련해서 오류가 떠서 그냥 volatility도 같이 다운받았습니다.  volatility를 설치하고 나면 경로에서v..
물리메모리 포렌식 (SKS 포렌식 스터디 week3) 메모리 포렌식이란 메모리 포렌식이란 컴퓨터 하드웨어 중 주 기억장치(RAM)에 남아있는 데이터의 흔적을 분석하는 포렌식 기법입니다. RAM은 휘발성이 강하지만 프로세스 정보, 네트워크 연결 정보, 악성코드 파일 정보, 사용자 활동 정보, 시스템 관련 자료구조 등 고유의 독특한 정보가 남아있습니다. 이런 특성을 이용해 메모리 포렌식은 프로세스의 행위 탐지, 네트워크 연결 정보, 사용자 행위, 복호화나 언패킹 또는 디코딩된 데이터 탐색, 패스워드와 암호 키를 획득한다는 목적을 가지고 RAM에 남아있는 데이터를 분석합니다 메모리 포렌식에서 분석하게 될 대상은 물리 메모리, 페이지 파일, 하이버네이션 파일 등이 있습니다.  물리 메모리란 주 기억장치를 말하는 것이고, 페이징 파일(가상 메모리)는 실제 물리적인 ..
[forensicscontest.com] infected (SKS 포렌식 스터디 week2) 이번에 풀어볼 문제는 forensicscontest.com의 infected https://forensicscontest.com/2010/04/01/ms-moneymanys-mysterious-malware입니다.  Puzzle #5: Ms. Moneymany’s Mysterious Malware – Network Forensics Puzzle ContestOur latest forensics puzzle has a malware twist to it, and was written by Lenny Zeltser. Lenny teaches the reverse-engineering malware (REM) course at SANS Institute. The puzzle: It was a morning r..
[forensicscontest.com] evidence04 (SKS 포렌식 스터디 week2) 이번에 풀어볼 문제는 forensicscontest.com의 evidence04 https://forensicscontest.com/2010/02/03/puzzle-4-the-curious-mr-x 문제입니다. Puzzle #4: The Curious Mr. X – Network Forensics Puzzle ContestWhile a fugitive in Mexico, Mr. X remotely infiltrates the Arctic Nuclear Fusion Research Facility’s (ANFRF) lab subnet over the Interwebs. Virtually inside the facility (pivoting through a compromised system), he con..
[N0PSctf] what did I write ??? (SKS 포렌식 스터디 week2) 이번에 풀어볼 문제는 what did I write ???입니다. 이 문제도 풀고 나서 플래그를 보니 N0PSctf라는 ctf 대회에 출제된 문제였습니다.    문제 패킷 파일을 wireshark를 이용해서 열어보니 USB와 USBHUB라는 프로토콜로 된 패킷 파일입니다. 패킷 파일을 열어보니 host에서  request를 보내고, 다시 host로 response를 보내는 것을 반복하고 있습니다. 그 뒤에는 URB_INTERRUPT in이라는 패킷이 수천개씩 전송되었습니다. URB_INTERRUPT in이라는 패킷 중 길이가 71인 것에는 HID DATA라는 필드가 있고 길이가 101인 것들에는 Leftover Capture Data라는 필드가 있는데, 이 필드들이 USB 장치에서 보내는 정보를 담고 있..
OSI 7계층/네트워크 프로토콜 정리 프로토콜이란네트워크 프로토콜이란 통신에서의  데이터 서식 지정 및 처리를 위한 규칙 세트입니다. 쉽게 말하면 서로 다른 하드웨어와 소프트웨어들이 정보를 주고받을때 사용하는 컴퓨터 공통 언어 양식이라고 할 수 있습니다. 같은 양식으로 정보를 보내고 받기 때문에 하드웨어나 소프트웨어의 종류와 상관없이 주고받는 정보를 올바르게 인식할 수 있습니다. 프로토콜은 목적에 따라 여러 가지 종류가 있는데, 각각의 프로토콜들은 OSI 7계층의 여러 가지 계층 사이를 통신하게 해줍니다.  OSI 7계층이란OSI 7계층이란 국제 표준화 기구에서 만든 표준 프로토콜을 사용해 다양한 통신 시스템이 통신할수 있도록 만든 개념 모델입니다. OSI 모델은 통신 시스템을 7개의 계층으로 나눠 계층들을 스택합니다.  7계층(응용 계층)..
[forensicscontest.com] evidence03 (SKS 포렌식 스터디 week2) 이번에 풀어볼 문제는 forensicscontest.com의 evidence03 문제 https://forensicscontest.com/2009/12/28/anns-appletv입니다.  Ann’s AppleTV – Network Forensics Puzzle ContestAnn and Mr. X have set up their new base of operations. While waiting for the extradition paperwork to go through, you and your team of investigators covertly monitor her activity. Recently, Ann got a brand new AppleTV, and configured it with t..
[forensicscontest.com] evidence02 (SKS 포렌식 스터디 week2) forensicscontest.com의 evidence02 문제 https://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail입니다. 이번 문제는 네트워크 포렌식 도구인 wireshark를 사용해서 네트워크 패킷 내용을 살펴보는 문제입니다. Puzzle #2: Ann Skips Bail – Network Forensics Puzzle ContestAfter being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town. “We believe Ann may ..

티스토리툴바