728x90 반응형 전체 글69 VMWare에서 메모리덤프 및 시스템 계정 비밀번호 찾기 VM웨어를 실행하면 VM웨어 폴더에 OOO.vmem 파일이 생성된다. 이것이 VM 메모리덤프 파일이다. Volatility 도구를 사용하여 위에서 획득한 vmem에서 아래와 같이 시스템 정보를 추출한다. 아래 그림과 같이 시스템 정보가 추출되었으며, win7SP1x64 시스템 정보를 획득하였다. 위에서 획득한 시스템정보와 hivelist 기능을 사용하여 아래와 같이 명령어를 입력한다. * [volatility경로] -f [덤프파일명] --profile=[운영체제종류] hivelist 아래와 같이 각 레지스트리의 메모리 주소가 출력되는 것을 확인하였다. 위에서 얻은 주소를 가지고 system과 sam을 조합하여 hashdump를 통해 윈도우 비밀번호를 추출할 수 있다. 위와 같이 암호화된 해쉬값으로 출력되.. 2022. 11. 16. 엑셀, 워드 매크로 비밀번호 풀기(VBA 암호풀기) 암호묻는 다이어로그 창의 리턴값을 1로 고정시켜서 암호를 맞게 입력한것으로 속이는 방법이다. Excel 2007 Excel 2010 Excel 2013 Excel 2016 1. 락이걸린 엑셀파일을 연다. 2. 새 xlsm 파일을 생성한다. 3. Alt+F11 을 눌러 VBA를 실행한후 새로 만든 파일의 프로젝트를 선택하고 위의 메뉴의 Insert->Module 해서 Module1 에 다음 코드를 복사해 넣는다 64bit 엑셀프로그램은 아래의 64bit 버전용 코드를 대신 삽입니다. Excel 32bit 버전용 코드 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39.. 2022. 11. 15. [모바일 포렌식] 안드로이드 스마트폰 메모리 덤프 - 2 어제는 frida 설치까지 다 했으니, 오늘은 fridump를 사용해서 메모리 덤프를 해보도록 합시다! adb 데몬이 꺼져있을 수 있으니 다시 켜주고! 어제 배운 frida-ps -U 명령어로 디바이스 내에 frida-server가 잘 돌아가고 있는지 확인합니다~! frida-server가 꺼져 있으면 다시 켜주어야 해요! 그럴 경우, adb shell을 이용해서 다시 백그라운드로 실행시켜 줍니다> (스마트 폰을 껏다키면 frida-server는 고대로 종료됩니당.) frida-server가 제대로 실행되고 있는 거를 확인하면 이제 본 라운드로 돌아갑시다! 일단 fridump를 설치해야 합니다! fridump 란? fridump는 frida framwork를 사용하는 오픈 소스 메모리 덤핑 도구입니다. .. 2022. 11. 9. [모바일 포렌식] 안드로이드 스마트폰 메모리 덤프 - 1 이번 글의 최종목표는 안드로이드 메모리를 덤프하는 겁니다. 물론 곁다리로 안드로이드의 깊숙히 숨겨져있는 면까지도 접근할 수 있겠습니다만, 주 목적은 fridump 라는 도구를 이용해서 안드로이드 어플 사용시 사용자가 입력한 데이터들이 메모리에서 잘 발견이 되는지를 판단하는 것이겠습니다. 한 번에 정리하기에는 글이 너무 길어질 것 같아, 적당히 두 번에 걸쳐 정리하도록 하겠습니다. 먼저, 1 장에서는 adb를 설치해서 안드로이드와 사용자의 PC 간의 연결을 돈독히 하도록 만들어주고, frida 를 설치해서 fridump라는 메모리 덤프 도구를 사용할 기반을 만들어주도록 하겠습니다. 주의 : 루팅이 되지 않은 단말은 fridump 로 덤프할 수 있는 메모리 영역이 극도로 줄어듬을 확인하실 수 있습니다. 시작.. 2022. 11. 9. EnCase GREP 을 이용한 정규표현식 키워드 검색 GREP 표현식 기호 의미 예 . 하나의 문자로 어떤 문자가 와도 상관없음 [abc] [ ]안의 어떤 문자가 와도 상관없음 [ck]orea : corea, korea 둘다 포함됨 [^abc] [ ]안의 어떤 문자가 와도 안됨 [^ck]orea : corea, korea 둘다 포함되지않음 [a-z] a~z 사이의 어떤 문자가 와도 상관없음 \x01 16진수 표기법임 문자로 나타낼 수 없는 백스페이스(\x08), 탭(\x09)와 같은 값을 표기할 때 사용 \w0123 유니코드를 나타내는 4자리 정수 (abc) 문자의 그룹을 나타내는 것으로 항상 연속적으로 존재해야 ? 어떤 문자가 0번 또는 1번 반복됨 ##?/##?/#### : 01/01/2008, 1/1/2008 둘다 포함됨 * 어떤 문자가 0번 이상(0.. 2022. 11. 8. 크롬에 저장된 계정정보 복호화(Chrome password decrypt) Chrome은 사용자의 편의를 위해 로그인할 수 있는 사이트마다 ID와 패스워드를 기억하는 기능을 제공한다. 다른 브라우저도 이 기능을 지원하긴 할텐데 개인적으로 오페라만 사용하다보니 확신은 못하겠다. 일반적으론 패스워드를 해시화 해 저장한다고 알고있지만, 위 기능처럼 패스워드를 평문으로 기억해야 할 필요가 있는 경우라면 해시화 해 저장할 수 없다. 해시값에서 원문으로 되돌릴 수 없기 때문이다. Windows 용 Chrome에서는 DPAPI인 CryptProtectData를 사용해 패스워드를 암호화 한 다음 SQLite로 저장한다. DB 파일의 이름은 "Login Data"이며, History 파일과 같은 폴더에 위치해있다. * %USERPROFILE%\AppData\Local\Google\Chrome\.. 2022. 11. 7. 이전 1 2 3 4 5 6 7 8 ··· 12 다음 728x90 반응형
