포렌식/CTF-d2 [Memory] GrrCON 2015 #9~16 https://shsh010914.tistory.com/80 [Memory] GrrCON 2015 #1~8 [파일 추출] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1X86를 사용한다. 문제 풀이를 진행하기 shsh010914.tistory.com 이어서 문제 풀이를 진행한다. [GrrCON 2015 #9] 관리자 계정의 NTLM 암호 해시를 찾는 문제이다. hashdump 플러그인을 통해 사용자의 암호 해시를 확인할 수 있다. 관리자 계정의 암호 해시는 aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82이다. .. 2022. 8. 14. [Memory] GrrCON 2015 #1~8 [파일 추출] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1X86를 사용한다. 문제 풀이를 진행하기 앞서 프로세스 검색, 네트워크 분석, CMD 분석, 파일 분석에 대한 파일을 log 파일로 저장한다. 차례대로 pslist, psscan, pstree, psxview 명령어를 실행하여 출력 값을 파일로 저장한다. netscan 명령어를 실행하여 출력 값을 파일로 저장한다. 차례대로 cmdline, cmdscan, consoles 명령어를 실행하여 출력 값을 파일로 저장한다. filescan 명령어를 실행하여 출력 값을 파일로 저장한다. [GrrCON 2015 #1] 프런트 데스.. 2022. 8. 14. 이전 1 다음
