DDDDigtal 4ensics

오늘 풀어볼 문제는 DFC 2022에 출제되었던 문제 중 Shredder Test이다. 해당 문제에서 제시한 내용은 다음 과 같다. 문제 1.와이핑(분쇄기) 프로그램 사용 흔적을 분석하여 어떤 프로그램이 사용되었는지 확인합니다. 힌트: 다음 나열된 도구 중 일부가 사용되었습니다(기본 설정, 프리웨어/데모 라이센스). 2.사용자가 삭제한 파일을 삭제 시간 순으로 나열합니다. 삭제 시간을 나타내는 모든 아티팩트를 설명합니다. 각설하고 바로 이미지를 열어보았다. 열자마자 ~BCWipe.tmp가 보인다. 와이핑을 목적으로 사용된 프로그램은 BCWipe인 것으로 확인할 수 있다. 그럼 삭제 시간 순으로 나열하기 위하여 다음과 같은 파일을 추출한다. 파일명 경로 $LogFile root/$LogFile 위 파일을 ..

아담스... 서든어택 핵에선 신처럼 여겨지는 존재죠 닉네임에도 x담스 무슨무슨담스 이런식으로 쓰는 거 보면요. ​ 모든 불법프로그램의 사용은 어떻게 해서든 증거가 있고, 또 증거를 남깁니다. 디지털 증거는 쉽게 지울 수 있지만, 또 새로운 아티팩트가 계속 추가되고있구요. ​ 절대 악은 선을 이길 수 없습니다. ​ 아담스를 잡는 방법 ? 간단합니다. ​ 아담스는 NGM이라는 프로그램을 위장해서 사용합니다. NGM의 디지털서명을 확인하면되겠죠. 아담스는 디지털 서명이 존재하지 않습니다. 고로 완벽한 핵이 아닙니다. 위 사진은 일반적인 넥슨의 업데이트 로그입니다. ​ ​ 위 사진은 아담스의 셋업 로그입니다. ​ 둘의 차이점이 보이시나요 ? 아담스는 원격이 들어오면, 위장한 파일을 원본으로 바꾸기 위하여, 파일..

메모리 실행이라고 아는가? 말 그대로 파일을 디스크에 다운로드하지 않고, 바이너리를 메모리에 저장하여 실행하는 기법이다. 이미지로 표현한다면 위와 같이 표현할 수 있다. 그럼 해당 실행파일은 메모리에 있는데 덤프로 찾을 수 있을까 ? 찾을 수 있다. Protex.exe가 Form1이다. 가상실행하기를 누르면 밑에 SelectProcess의 바이너리가 메모리에 저장되면서 하위 프로세스에서 프로그램이 실행된다. 해당 프로세스를 메모리 덤프하여 찾을 수 있었다.

이름 경로 설명 Muicache HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache 의도적으로 지우지 않으면 삭제될 일이 거의 없다. BagMRU HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU 열었던 폴더에 대한 기록이 주된 기록이다. 트리 형태이며 툴을 써서 보는게 편하다. UserAssist HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수 등이 기록이 되어있고 rot13으로 해독해야한..