728x90 반응형 윈도우 포렌식18 VMWare에서 메모리덤프 및 시스템 계정 비밀번호 찾기 VM웨어를 실행하면 VM웨어 폴더에 OOO.vmem 파일이 생성된다. 이것이 VM 메모리덤프 파일이다. Volatility 도구를 사용하여 위에서 획득한 vmem에서 아래와 같이 시스템 정보를 추출한다. 아래 그림과 같이 시스템 정보가 추출되었으며, win7SP1x64 시스템 정보를 획득하였다. 위에서 획득한 시스템정보와 hivelist 기능을 사용하여 아래와 같이 명령어를 입력한다. * [volatility경로] -f [덤프파일명] --profile=[운영체제종류] hivelist 아래와 같이 각 레지스트리의 메모리 주소가 출력되는 것을 확인하였다. 위에서 얻은 주소를 가지고 system과 sam을 조합하여 hashdump를 통해 윈도우 비밀번호를 추출할 수 있다. 위와 같이 암호화된 해쉬값으로 출력되.. 2022. 11. 16. EnCase GREP 을 이용한 정규표현식 키워드 검색 GREP 표현식 기호 의미 예 . 하나의 문자로 어떤 문자가 와도 상관없음 [abc] [ ]안의 어떤 문자가 와도 상관없음 [ck]orea : corea, korea 둘다 포함됨 [^abc] [ ]안의 어떤 문자가 와도 안됨 [^ck]orea : corea, korea 둘다 포함되지않음 [a-z] a~z 사이의 어떤 문자가 와도 상관없음 \x01 16진수 표기법임 문자로 나타낼 수 없는 백스페이스(\x08), 탭(\x09)와 같은 값을 표기할 때 사용 \w0123 유니코드를 나타내는 4자리 정수 (abc) 문자의 그룹을 나타내는 것으로 항상 연속적으로 존재해야 ? 어떤 문자가 0번 또는 1번 반복됨 ##?/##?/#### : 01/01/2008, 1/1/2008 둘다 포함됨 * 어떤 문자가 0번 이상(0.. 2022. 11. 8. 크롬에 저장된 계정정보 복호화(Chrome password decrypt) Chrome은 사용자의 편의를 위해 로그인할 수 있는 사이트마다 ID와 패스워드를 기억하는 기능을 제공한다. 다른 브라우저도 이 기능을 지원하긴 할텐데 개인적으로 오페라만 사용하다보니 확신은 못하겠다. 일반적으론 패스워드를 해시화 해 저장한다고 알고있지만, 위 기능처럼 패스워드를 평문으로 기억해야 할 필요가 있는 경우라면 해시화 해 저장할 수 없다. 해시값에서 원문으로 되돌릴 수 없기 때문이다. Windows 용 Chrome에서는 DPAPI인 CryptProtectData를 사용해 패스워드를 암호화 한 다음 SQLite로 저장한다. DB 파일의 이름은 "Login Data"이며, History 파일과 같은 폴더에 위치해있다. * %USERPROFILE%\AppData\Local\Google\Chrome\.. 2022. 11. 7. bstrings 를 이용한 대용량 파일 문자열 추출 대용량 파일을 notepad 같은 프로그램으로 열 수는 없기 때문에 문자열을 검색하는 기능을 이용하여 정규식 표현으로 검색하는 방법이 있다. 이 때, bstrings 툴을 이용하여 원하는 문자열을 간단하게 추출할 수 있으며, -h 옵션을 이용하여 툴 사용법을 확인하면 아래와 같다. -p 옵션을 통해 어떤 문자열을 검색이 가능한지 확인할 수 있다. 각종 지갑주소, 비트라커 키, 이메일, IP, URL 등을 검색할 수 있다. 사용 방법은 bstrings.exe -f "파일경로" -lr "검색할 문자열 종류" 이며 아래와 같이 사용할 수 있다. bstrings.exe -f "F:\bstrings\pagefile.sys" -lr email 2022. 11. 3. 페이지 파일 pagefile.sys 분석 - 문자열 추출(Python Yara) 윈도우에서 pagefile.sys 는 가상 메모리 파일로 RAM 에서 용량이 모자를 경우 하드디스크의 일부 영역을 메모리 공간으로 활용하는 것이다. pagefile.sys 파일은 PC를 포맷하지 않고 오래 쓸수록 그 용량이 늘어나며 필자의 pagefile.sys 는 1.5GB 정도로 확인된다. 일반적으로 대용량이기 때문에 텍스트 형태로 보기 어려우며 문자열을 따로 추출해서 봐야한다. 다음 page_brute.py 소스코드를 통해 텍스트 추출을 한다. #!/usr/bin/python # #page_brute.py # import sys import argparse import datetime import glob import os import os.path import binascii try: import.. 2022. 11. 2. 윈도우 침해사고 MFT 및 이벤트로그 분석 MFT 분석 MFT는 Master File Table의 약자로 NTFS 파일 시스템에 존재하는 모든 폴더, 파일의 메타 데이터 정보를 저장한다. 파일로는 %ROOT%\$MFT 형태로 존재하지만, 탐색기 상에서는 확인할 수 없어서 아래 두가지 방법을 통해 추출한다. 1. forecopy를 통한 $MTF 추출 2. Disk Image를 통한 $MTF 추출 MFT 정보를 이용해 아래와 같은 점검 포인트를 가지고 점검한다. 침해사고 시각 악성코드 생성 시각 비정상 DB 생성 시각 의심스러운 시스템 계정 생성 및 로그인 시각 보안장비에서 탐지된 스캔 및 공격등의 이벤트 시각 analyzeMFT 도구를 이용하여 $MFT 파일을 분석할 수 있는데, -l 옵션을 통해 지역정보를 넣고, -o 옵션을 이용해 csv파일로 .. 2022. 10. 31. 이전 1 2 3 다음 728x90 반응형
