Forensics/Wargame53 [ctf-d] 이 편리한 안드로이드... apk 파일이 주어져 있다. apk 파일은 안드로이드 응용 프로그램 패키지이다. 한번 다운 받아서 열어보자. 이미 내 컴퓨터에 nox가 깔려있어서 nox로 열어보았는데 이런 어플이었다. 열어보면 이런 화면이 뜨고, GET FLAG를 눌러보면 이 화면에서 멈춰있다. 문제 힌트에도 코드에 들어가보라는 내용이므로 코드를 한번 살펴보아야 할 것 같다. 코드를 살펴보기 위해 apktool을 다운받았다. https://ibotpeaches.github.io/Apktool/install/ 그리고 해당 문제 파일을 apktool을 통해 디컴파일 해준다. 그러면 아래와 같이 새 폴더가 생긴다. xml 파일을 통해 패키지 흔적을 확인할 수 있다고 하는데, 메모장으로 열어보면 위와 같다. 사실 무슨 내용인지 잘 모르겠다. .. 2021. 7. 26. [XCZ.kr] prob.24 Memoryyyyy Dumpppppp 문제 파일이 두 개가 있는데, xczprob2.7z.001 파일을 압축 풀어 나온 xczprob2 파일을 볼라틸리티 imageinfo 해주었다. OS 버전이 WinXPSWinXPSP2x86인 것을 확인할 수 있었다. 이제 psscan으로 프로세스 정보도 한번 보자 작업프로그램이 갑자기 꺼졌고, 작업파일들이 모두 다 삭제되었다고 한다. 프로세스를 살펴본 걸론 모르겠어서 다른 명령어로 더 살펴보았다. connections 명령어는 Windows XP, Windows 2003 Server만 사용 가능한 활성화 상태의 네트워크 연결 정보를 보여준다. 작업프로그램이 갑자기 꺼졌으면 지금 활성화 상태의 네트워크 연결 정보를 보면 범인인 프로세스가 나올 것이라 생각했다. psscan에서 해당 pid를 보니 nc.ex.. 2021. 5. 4. [ctf-d] GrrCON 2015 #2 이번 문제에도 이메일이라는 키워드가 있다. 그래서 지난 문제에서 사용한 txt 파일을 사용해보기로 했다. exe파일이 꽤 나왔는데 하나하나 넣어보다가 하나가 성공했다 ! 2021. 5. 4. [ctf-d] GrrCON 2015 #1 메모리 문제이므로 volatility를 사용했다. 먼저 imageinfo로 운영체제 버전을 알아낸다.(Win7SP1x86) psscan은 메모리 덤프 당시의 프로세스 상태를 은닉 프로세스까지 모두 찾아 출력해줄 수 있다. 굉장히 많은 프로세스들이 나오는데, 그 중에서도 OUTLOOK.EXE가 눈에 띈다. 문제에서 전자메일 주소를 물어봤으므로 outlook이 의심스럽다. OUTLOOK.EXE의 PID가 3196인 것을 확인했으니 해당 부분을 덤프뜨자 그럼 이렇게 같은 디렉토리 내에 덤프파일이 생성된다. 이제 덤프파일을 txt 파일로 확인해보자. 그러면 txt 파일이 생성된다. txt파일의 내용이 굉장히 많아서 찾기 기능으로 이메일 주소를 찾아보았다. 처음엔 .com으로 찾아봤더니 내용이 너무 많아 outl.. 2021. 5. 4. 이전 1 2 3 4 5 6 7 8 ··· 14 다음 728x90