728x90
반응형
VM웨어를 실행하면 VM웨어 폴더에 OOO.vmem 파일이 생성된다. 이것이 VM 메모리덤프 파일이다.
Volatility 도구를 사용하여 위에서 획득한 vmem에서 아래와 같이 시스템 정보를 추출한다.
아래 그림과 같이 시스템 정보가 추출되었으며, win7SP1x64 시스템 정보를 획득하였다.
위에서 획득한 시스템정보와 hivelist 기능을 사용하여 아래와 같이 명령어를 입력한다.
* [volatility경로] -f [덤프파일명] --profile=[운영체제종류] hivelist
아래와 같이 각 레지스트리의 메모리 주소가 출력되는 것을 확인하였다.
위에서 얻은 주소를 가지고 system과 sam을 조합하여 hashdump를 통해 윈도우 비밀번호를 추출할 수 있다.
위와 같이 암호화된 해쉬값으로 출력되고, 사용자 계정정보 이름, 관리자 계정정보도 확인 가능하다.
* [volatility 경로] -f [덤프파일명] --profile=[운영체제종류] hashdump -y [SYSTEM하이브파일] -s [SAM하이브 파일]
mimikatz 플러그인을 통해 그냥 명령어를 쓰면 바로 현재 로그온된 사용자의 비밀번호를 알려준다.
반응형
'윈도우 포렌식' 카테고리의 다른 글
| 윈도우에서 부팅시 비트라커(Bitlocker)가 자동활성화 되는 이유 (0) | 2022.12.16 |
|---|---|
| 비트락커(Bitlocker) 복구 (0) | 2022.12.16 |
| EnCase GREP 을 이용한 정규표현식 키워드 검색 (0) | 2022.11.08 |
| 크롬에 저장된 계정정보 복호화(Chrome password decrypt) (0) | 2022.11.07 |
| bstrings 를 이용한 대용량 파일 문자열 추출 (0) | 2022.11.03 |
댓글