'-')!b

이전 글 (#3, #4) https://ukkiyeon.tistory.com/203?category=1058612 재부팅 후에도 지속성을 유지하는 데 사용되는 레지스트리 키? **Run and RunOnce Registry keys** 이 레지스트리 키에 자동실행을 원하는 키 값을 작성하여 등록하면, 윈도우즈 OS에서 자동 실행이 가능하다. 악성코드는 이를 통해 침입 시스템에서의 생명주기를 늘려 악의적 행위를 지속 가능하다. --- Run and RunOnce Registry keys 종류 1) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 2) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre..

DMP 파일을 확인할 수 있다. DMP는 윈도우즈 메모리 덤프라고 함. 근데 왜 메모리가 아니라 디스크 문제에 있지 ..? 그리고 조금 찾아봤는데 strings로 플래그를 바로 찾을 수 있다고 한 . 다 .. 그래서 HxD로 열면 바로 찾을 수 있 . 다 .. +) 덤프 파일 생성 방법 (.DMP) 1. 작업관리자 실행 2. 우클릭 - 덤프 파일 만들기 3. DMP 파일이 생성되었다. 해결!

파일 크기가 너무 커서 원본이 여기에 업로드 되지 않는다 .. binwalk로 분석해본 결과, png랑 zlib이 있었는데 경험상 zlib에는 뭐가 없던 경우가 많았지만 그래도 한 번 살펴본 결과 역시 뭐가 없었다. 찾아보니 png를 마지막에 압축할 때 zlib이 사용된다고 한다. HxD로 살펴봐도 딱히 눈에 띄는 부분은 없었다. 스테가노그래피 툴도 사용해봤지만 뭐가 없었다. 애초에 용량이 커서 .. 확인도 어려웠다. 그럼 png 구조적으로 문제가 있는 걸까 싶어 알아보았다. png 파일은 시그니처와 여러 청크들로 구성된다. 헤더 시그니처 (8B) : 89 50 4E 47 0D 0A 이후에 바로 IHDR 청크가 온다. Image Header라는 의미로, 이미지에 대한 기본 정보가 존재하며 상세값은 아래와..

이전 문제 풀이 (#1, #2) https://ukkiyeon.tistory.com/185 [ctf-d] GrrCon 2015 #1 #2 Volatility 명령어 정리 imageinfo 메모리의 운영체제를 식별 pslist 시간 순서대로 출력 psscan 숨김 프로세스를 볼 수 있음 pstree PID, PPID 기반으로 구조화해서 보여줌 psxview pslist, psscan을 한 눈에 볼.. ukkiyeon.tistory.com iexplore.exe에서 AnyConnectInstaller.exe를 다운받은 것으로 보인다고 했으니까, iexplore.exe를 추가 분석해보자. (procdump) pstree.log를 확인해보면, iexplore.exe의 PID는 2996 procdump : 프로세..

MrFusion.gif 확인 후 HxD로 열어봄. gif 파일의 헤더 시그니처는 47 49 46 38 37 61 / 47 49 46 38 39 61 이고, 푸터 시그니처는 00 3B 이다. 근데 마지막 부분에서 푸터 시그니처가 아니라, JPEG 푸터 시그니처를 확인할 수 있었다. binwalk 결과, GIF, PNG, Zlib, JPEG, bitmap의 여러 파일들로 구성되어 있었다. binwalk --dd='.*' 파일명 명령어를 통해 모든 파일을 추출했다. 추출된 파일들을 확인해봤는데, 여러 이미지들이 나와서 조합 후 SECCON{0CT2120150728} --> 아니었음. 다시.. 눈으로 대충 조합해서 그런가 싶어 헥스값 순서대로 그림만 천천히 배치해봄. GIF --> SECCON{ 0x1B1F (..

steg.png 확인 Ghost in wires는 무슨 해커 추격 자서전(?)이라고 함.. 오..호.. 시그니처는 멀쩡했다. steg.png니까 스테가노그래피같다 https://stegonline.georgeom.net/upload StegOnline stegonline.georgeom.net 사용법을 몰라서 아무거나 누르다가 LSB Half 눌렀더니 플래그를 확인할 수 있었다. 해결!

문제에서 주어진 stego_50.jpg 확인 hxd로 시그니처를 먼저 확인해보았다. 헤더와 푸터 모두 있었지만, 푸터 시그니처 FF D9 이후로 ZIP 파일의 헤더 시그니처 50 4B 03 04와 푸터 시그니처 50 4B 05 06을 확인할 수 있었다. 이후로는 알 수 없는 문자열도 볼 수 있었다. steghide~~ 라는 수상한 부분도 있어서 검색해보니, steghide라고 이미지에 데이터를 숨기거나 추출하는 툴이라고 한다. jpg만 지원한다고 하는데, 이걸 사용한 것으로 생각되었다. steghide를 다운받고, steghide --help로 메뉴얼을 볼 수 있는데, 추출하려면 steghide extract -sf ~.jpg를 사용하면 된다고 한다. 시도해봤지만, passphrase가 있어야 하는 것 ..

문제에서 위와 같은 desktop_capture.png를 확인할 수 있다. 으잉 HxD에 넣어봤는데 별다른건 없었고, 바탕화면 캡처본에서 비밀메시지 읽으라고 해서 잘 살펴봤는데 그림판에 HxD 캡처본이랑 채우기 기능 선택되어 있고 유치원생도 풀 수 있다고 해서 똑같이 그림판을 사용해야하나 싶었음 그래서 HxD 캡처본을 그림판에서 채우기 기능으로 채워봤는데 .. 엥 그냥 주어진 캡처본에 적용하면 되는 거였다 ... 해결 ~

stegano2.jpeg 다운받으면 이런 이미지를 확인할 수 있는데, WAT HEX? 이래서 HEX가 문제가 아닌가 싶었음. 일단 HxD로 열어봄. jpeg 헤더 시그니처는 FF D8 FF E0 또는 FF D8 FF E8 푸터 시그니처는 FF D9인데, HxD 확인해보니까 푸터 시그니처가 이상했음. 검색해봤더니 .. 마침 익숙한 문자를 발견함. 제대로 보니 jpeg 푸터 시그니처 이후로 4D 5A, MZ랑 아까 cannot be run in DOS mode 보고 PE 파일이라고 생각되었음. 해당 부분만 잘라서 exe 파일로 새로 만들어줌. 해결 ~!

이런 이미지를 볼 수 있다. 사진들 제외하고 다른 거 없어 보이냐고 함. 위에 url 있길래 들어가봄. 뭔 이상한 사이트 나오는데 이미지랑 db 파일을 다운받을 수 있음. _Thumbs.db를 자세히 봐야할 것 같다. Thumbs.db - 미리보기 이미지가 생성되어 저장되는 파일 - 이미지 미리 보기 로딩 시간을 줄이기 위한 캐시 파일임. - 폴더에 있는 이미지 파일을 썸네일 형식으로 보게 되면 자동으로 생성되는 파일인데, 기본적으로 숨겨져 있음. - 굳이 필요 없어서 .. 생성 방지도 하나봄. - 숨겨진 파일 보기를 해야 함. (왜 나는 안됐지) - 따라서 미리보기로 보여질 이미지들은 jpg 형식 (FF D8 ~ FF D9) 으로 여기에 저장이 됨. https://lifenourish.tistory.c..