물먹는산세베리아

문제 1번 문제 파일을 쓰면 된다. 풀이 ▶userassist 최근에 실행한 프로그램 목록, 실행 날짜, 실행 횟수, 실행한 사용자 정보 등을 저장하는 플러그인이다. volatility_2.6_win64_standalone.exe -f "Target1-1dd8701f.vmss" --profile=Win7SP1x86 userassist *profile은 imageinfo 플러그인으로 확인 가능하다. Key 포맷이 .exe 파일이라서 실행파일 위주로 봤는데 그 중 \frontdesk\Download 폴더에 있는 파일을 발견했다. 문제에서 프런트 데스크 직원들의 이메일로 첨부해서 보냈다고 했기 때문에 이메일로 온 것을 다운 받았으면 이 폴더에 있는 게 맞지 않을까 싶었다. 정답

문제 사용도구: volatility(다운로드) 참고1 풀이 vmss, vmem 파일은 volatility 라는 도구로 많이들 분석한다고 한다.(유명한데 나만 몰랐네) 처음에는 vmss가 vmware 파일이라길래 vm으로 열어봤는데 안돼서 당황했다. 분석할 파일을 volatility를 설치한 위치에 옮겨주고 cmd에서 실행하면 된다. ▶ imageinfo volatility_2.6_win64_standalone.exe -f "Target1-1dd8701f.vmss" imageinfo 운영체제, 프로세스, 덤프 시간 등 정보를 확인할 수 있다. 1. profile: Win7SP1x86, Win7SP0x86, Win&SO1x86_23418 2. KDBG 주소 : 0x82765be8L 3. 2015년 10월 9..

문제 풀이 파일을 zip파일로 줘서 다른 문제처럼 와이어샤크에 넣을 필요는 없었고 바로 FTK Imager에서 열었다. /mnt/sdcard에서 열어봤는데 그 중에 Camera에서 사진을 하나 발견했다. 물론 이걸 발견하기까지 다른 데도 많이 열어봄.. (사진 중간만 잘라옴) 처음에는 술 취해서 쓰러진 사진인 줄 알고 별걸 다 찍어놓네 하고 넘겼다. 그러다 pcap 파일을 발견해서 와이어샤크로 다 찾아봤는데 딱히 나오는 건 없었다. 문제를 다시 읽어보니까 실종됐는데 핸드폰을 보냈다? 누가봐도 범인이 보낸건데?? 그리고 Gregory한테 무슨 일이 일어났냐고 물어본 거니까 저 사진이랑 상황이 맞다. -> 쓰러져있음 -> 영어로 뭐라 쓰지.. 동사라던가.. 명사라던가 과거형이라던가.. -> 이렇게 애매한 게..

보호되어 있는 글입니다.

* setupapi.dev.log 파일 참고함 텍스트 로그 헤더 [Device Install Log] OS Version = 10.0.22000 Service Pack = 0.0 Suite = 0x0100 ProductType = 1 Architecture = amd64 [BeginLog] 운영 체제 및 시스템 아키텍쳐 정보 텍스트 로그 섹션 >>> [Enable Device Install]//섹션 머리글 >>> Section start 2022/01/15 00:31:36.002//섹션 머리글 cmd: C:\WINDOWS\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.22000.345_none_04b3f78d4c83ab0f\TiW..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.