본문 바로가기

forensic

Codegate 2012 Forensic 400 풀이 풀다 보니 벌써 400점 문제네요 :) 이번 문제의 지문부터 봐 볼까요? In Energy corporate X which is located in Seoul, APT(Advanced Persistent Threat) was occurred. For 6 months, Attacker A has stolen critical information with an elaborate attack. Attacker A exerted great effort to remove his all traces such as malicious file, prefetch, registry and event logs for the period of attacking, so it was hard for Energy Corporate.. 더보기
Codegate 2012 Forensic 300 풀이 오늘 참 버닝하는 것 같습니다 :) 한번 풀기 시작하니 계속 생각이 나는군요. 정말 이것만 하고 이제 제 할일을 해야 겠습니다. 일단 문제는 아래와 같습니다. IU is investigating the system which was contaminated by malicious code. As a result of analyzing TimeLine, it seems to be contaminated after February 9th 2012. Contaminating path would be from visiting Web page. IU analyses various user traces of Internet, however IU can't find malicious URL. Maybe traces w.. 더보기
Memory Analysis (7) 메모리 분석에서 제일 중요한 것은 프로세스를 찾는 것이다. 특히 루트킷에 의해서 숨겨진 프로세스를 찾는 것은 안티루트킷 도구들과 메모리 분석으로 할 수 있는데, 안티루트킷 도구를 사용하면 조사환경에 어떠한 영향을 주기 때문에 포렌식적으로는 메모리 분석보다 좋지 못한 방법이다.(아예 안좋다는 것은 아님) 메모리에서 프로세스를 찾기전에 프로세스가 어떻게 정보를 저장하고 어떻게 관리가 되는지부터 공부를 해야한다. 이러한 이유로 이번에는 윈도우에서 프로세스를 어떻게 관리하고 다루는지 알아 볼 것이다. 또 프로세스를 숨기는 방법 중 가장 대표적인 DKOM(Direct Kernel Object Manipulation)의 원리도 공부해 볼 것이다. 윈도우에서는 EPROCESS라는 구조체로 프로세스의 모든정보가 들어가.. 더보기

티스토리툴바