디지털 포렌식_02

▼ 아래의 강의를 활용해 학습 및 정리하였습니다. ▼

https://inf.run/zmPL

인프런 - 라이프타임 커리어 플랫폼

---

1. 도구 설치, 환경 설정, 문제 다운로드

메모리 포렌식

• 메모리
  • 프로그램이 올라갈 수 있는 공간에 올라가 있는 곳
  • 메모리 뒤져 보면 프로그램 정보, DLL정보, 파일 정보, PW 등 발견 가능

Volatility

• 위에서 말한 걸 할 수 있는 도구.

시스템 환경 변수

• 어떤 경로에서도 접근할 수 있도록.
• 설정 방법: 윈도우>시스템 환경 변수 편집>환경 변수>시스템변수>패스값 편집>볼라틸리티 폴더 경로를 복붙
  • 이제 터미널에서 바로 volatility 접근 가능.

문제 다운로드

• volatility wiki
• ctfd.com

윈도우즈 터미널 사용법 - https://velog.io/@hunjison/Windows-Terminal-%EA%B8%B0%EC%B4%88-%EC%82%AC%EC%9A%A9%EB%B2%95

Windows Terminal 사용법

---

2&3. Volatility Cridex 풀이

• vloatility -f <이미지>imageinfo
  • 메모리 덤프를 보고, 어떤 운영체제의 메모리 덤프인지 판단.
  • 어떤 운영체제인지에 대한 값이 앞으로 모든 분석에서 사용.
• pslist
  • 프로세스 리스트 출력(시간 순서대로)
• psscan
  • offset(메모리 덤프 파일이 어느 위치에 존재하는지. 주소?) 순서대로 출력
• pstree
  • 모양이 구조화돼서 보여짐
  • PID, PPID는 부모자식관계
• psxview
  • pslist와 psscan 포함하여 총 7가지 도구 결합된 도구
  • 다 쓰진 않고 pslist와 psscan 한눈에 보는 도구.

 

adobe -> PDF파일 리더 -> 악성 코드 많음

 

프로세스 말고 커맨드라인 보기

• cmdscan > cmdscan.log
• consoles > consoles.log
• cmdline > cmdline.log
  • 프로세스가 실행될 때 인자값

해서 저장하고 노트패드로 전부 열어줌. cmd라인이 쭉 나옴

 

• filescan 
  • 메모리 내에 존재하는 모든 파일에 대한 정보
• connections
  • 연결된 TCP 통신에 대한 정보 출력
• memdump  
  • 메모리 덤프 중에서도 프로세스의 메모리 부분을 덤프해서 가져옴.
• dumpfiles
• procdump
  • 이걸로 뽑아낸 exe는 실제로 실행됐던 exe

sysinternalsuite를 시스템 환경 변수 등록해 주기. 

스트링즈 나온 상태에서 스트링즈 덤프 아래에 log파일 출력(리디렉션 해서)

 

의심되는 ip 주소를 찾아 보니 해커의 주소로 추정되는 주소들 다량 발견

• reader_sl.exe가 악성 pdf 문서를 읽어서 취약점으로 인해 해당 url들로 접속을 한 시나리오?
• 은행 관련 단어가 많이 나옴 -> 은행과 유사한 가짜 사이트 만든 것?

 

filescan.log에서 reader_sl.exe을 터미널로 검색해 보니 악성코드 발견!

 

4&5. CTF-d, GrrCon 2015 풀이

 

---

문제풀이

Q. 프로세스 리스트를 시간 순서대로 출력할 수 있는 명령어는?

A.  pslist

 

Q. outlook 소프트웨어가 의심되는 소프트웨어인 이유가 무엇인가?

A. 메일 관련 소프트웨어임. 메일을 통해 악성 코드가 많이 오가기 때문. 

 

Q. 현재 연결된 TCP 통신 정보를 보여주는 명령어는?

A. connections