Lab4해커가 정보를 훔쳐간데다 중요한 파일 하나를 삭제했다고한다. 메모리 파일 말고는 증거가 없다. 먼저 info와 프로세스 목록을 출력해본다. 별로 눈에 띄는 수상한 프로세스는 보이지 않는다. 그나마 StikyNot ?StikyNot의 dlllist와 handles도 확인해본다. 딱히 눈에 띄는건 안보인다. StickyNote 아티팩트는 %LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState 경로에 plum.sqlite 데이터베이스를 가진다. filescan으로 전체 파일을 스캔하고 검색해보자.결과가 없는 것 같다.중요 파일이라 했으므로 혹시나해서 important를 검색해봤다.오 결과가 있다. 추출에 실패했다. ..

Lab2피해자는 "환경" 운동가이다. 그는 응용프로그램에서 브라우저들과 PW관리자 등을 알려주었다. 메모리 덤프를 분석하고 중요한 자료를 찾아 돌려주는 것이 미션이다. "environmental"이 강조되어있다. 마침 "환경"변수라는 우리가 확인할 수 있는 것이 있다. 그렇다면,환경 변수를 확인하고브라우저 애플리케이션을 확인하고PW관리자 프로그램을 통해 중요 정보를 찾기순서로 진행하면 될 듯 하다. info의 결과는 다음과 같다. 프로세스 목록을 출력해보자또 유니코드 오류가 났다. 인코딩 설정해주고 나머지 psscan과 pstree를 출력한다.수상하게 KeePass라는 이름의 프로그램이 있다. PW를 얻을 수 있을 것 같은 이름이다. Chrome은 여러개의 탭/창을 띄울 수 있기에 여러개의 프로세스가 ..

이 메모리 덤프를 만들 때 무엇을 하고있었는지 찾아달라고 한다. 프로세스 목록을 얻는다. (덤프 결과가 대상 파일인 Challenge.raw파일이므로 덤프할 당시에 실행되던 프로세스 목록을 얻을 수 있다.)DumpIt.exe의 PPID가 324이고, 324는 explorer.exe이다. explorer.exe에서 메모리 덤프도구 dumpIt.exe을 사용했을 것이라 추측할 수 있다. VBoxTray는 VirtualBox관련 프로그램이다. 호출관계나 파일경로는 정상인 것처럼 보인다. 하지만 cmd에서 DumpIt.exe를 실행했다면 DumpIt의 PPID는 cmd의 PID였어야 할 것이다. 하지만 explorer의 PID였다.cmd.exe는 DumpIt.exe를 실행하며 무언가를 실행한 듯 하다. cmd...

도구 : Volatility3덤프 파일을 대상으로 한다. 분석 환경 세팅https://github.com/stuxnet999/MemLabs 에서 Lab0을 우선 다운해준다. 문제 풀어보기 Volatility는 pycryptodome 등 python 라이브러리를 필요로 한다. exe파일로 설치했다면 별도의 세팅이 필요없다! 플러그인도 지원을 한다. exe로 설치한다면 편할 수도 있지만 외부 플러그인을 추가할 경우 소스코드 버전으로 설치해야한다. volatility3가 있는 곳에서 python -m ensurepippython -m pip install --upgrade pippython -m pip install pycryptodomepython C:\Tools\volatility3\vol.py로 실행했..