https://otterctf.com/challenges OtterCTF otterctf.com 1 - What the password? 먼저 파일을 다운로드하고 압축을 풀어 imageinfo 명령어로 확인해보았다. volatility 경로로 이동 → python vol.py -f "파일" imageinfo vmem 파일이 win7SP1x64 환경에서 찍힌 것을 확인할 수 있다. 다음으로 hivelist 명령어를 이용해 어떤 레지스트리가 있는지, 각 레지스트리의 가상 메모리 주소는 무엇인지 알아냈다. python vol.py -f "파일" --profile=[운영체제종류] hivelist 얻은 주소로, SYSTEM과 SAM을 조합하여 hashdump를 통해 윈도우 비밀번호를 추출할 수 있다. python..

1. Volatility란? - 메모리 덤프 파일 분석에 가장 많이 사용되고 있는 도구 - 오픈 소스 기반, CLI 인터페이스 제공 - 프로세스 정보와 네트워크 정보 등을 확인할 수 있음 - 프로세스 덤프 기능을 제공하여 기존에 실행되고 있던 프로세스 내용 확인 가능 - 비슷한 도구: 구글의 ReKall, 멘디언트의 Redline 등 2. 설치 https://www.volatilityfoundation.org/ 3. 플러그인 - pstree : 프로세스를 트리 형식으로 출력 - pslist : 프로세스 리스트 출력, 리스트 워킹 (가상 주소) - psscan : 프로세스 리스트 출력, 패턴 매칭 (물리적 주소) - psxview : 프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 조회 - proc..

1. 인터페이스 및 간단 사용법 Evidence Tree: 계층적 트리구조로 추가한 증거 항목을 보여준다. File List: Evidence Tree에서 선택된 항목의 파일과 폴더를 보여준다. Viewer: Preview Mode 옵션 (Natural, Text, Hex) 선택에 따라 선택된 파일의 내용을 보여준다. Properties/Hex Value interpreter: Evidence Tree이나 File List에서 선택된 객체의 다양한 정보를 보여주고, 뷰어에 선택된 16진수 값을 10진수와 가능한 날짜, 시간 값으로 변환한다. Custom Content Sources: 이미지에 포함된 내용을 보여준다. Add Evidence Item: 증거 자료를 Evidence Tree에 추가한다.Cre..

Encase 장점 - 작업물이 법률적 효력을 가질 가능성이 높다. - 확장성 및 외부 프로그램과의 호환성이 좋다. - 광범위한 기능을 지원해 전문가들이 사용하기에 좋다. 단점 - 프로그램이 비교적 비싸다. - 사용법이 복잡해 충분한 숙련도를 요구한다. FTK 장점 - 프로그램이 가벼운 편이다. - 여러 가지 종류 중 프리웨어가 있어 무료로 사용 가능하다. - 3.x 버전은 데이터베이스가 탑재되어 프로그램이 강제 종료되었을 때 재부팅하여 중지된 부분부터 다시 수사할 수 있다. - 인터페이스가 편리하고, 검색 툴이나 이메일 분석 기능 등이 포함되어 비교적 다루기 쉽다. - 거의 모든 파일 포맷을 지원한다. - 이미지 생성 전에 증거를 미리 볼 수 있어 중요한 정보를 골라내는데 유용하다. 단점 - encase..