본문 바로가기

전체 글

CVE-2020-0610 보호되어 있는 글입니다. 더보기
CVE-2020-0668 보호되어 있는 글입니다. 더보기
CVE-2019-1315 보호되어 있는 글입니다. 더보기
PANDA 설치 방법 Digital Investigation Vol.28에 게재된 Mal-Flux: Rendering hidden code of packed binary executable을 연구실 논문 세미나를 위해서 읽게되었다. 논문에서 사용한 방법을 따라해보기 위해 환경을 구축하는데 (버전 착오로...) 상당히 애를 먹었는데, 해결 방법을 개략적으로 적어두었다(추후에 자세히 적으려고 했다. 하지만 어려울 것 같다..). https://www.sciencedirect.com/science/article/pii/S1742287618303736 PANDA 2.0 버전 설치 https://github.com/panda-re/panda qemu-img create -f qcow2 win7.img 20G qemu-system-x8.. 더보기
Windows x64 메모리 덤프에서 스택 트레이스 보호되어 있는 글입니다. 더보기
애플리케이션 호환성 아티팩트 보호되어 있는 글입니다. 더보기
NTFS 인덱스 구조와 동작 1. NTFS 인덱스 구조 NTFS에서는 인덱스란 파일시스템에서 특정 데이터(예를 들면 파일)를 빠르게 찾기위해서 정렬된 순서로 저장된 속성이나 데이터라고 할 수 있다. 이때 저장된 속성이나 데이터들은 인덱스 엔트리로 취급된다. NTFS에 존재하는 인덱스 별로 저장된 속성이나 데이터들은 달라질 수 있다. NTFS에서 인덱스를 가지고 있는 파일은 디렉터리, $Secure, $ObjId, $Quota, $Reparse가 있다. 인덱스를 가지는 이 파일들은 인덱스를 만들기 위해 해당 파일의 MFT 엔트리에서 $INDEX_ROOT와 $INDEX_ALLOCATION 속성을 사용한다. MFT 엔트리의 속성들은 속성 자체를 지칭해서 불려지는 이름말고도 별도의 이름을 가질 수 있다. 따라서 $INDEX_ROOT와 $I.. 더보기
메모리 포렌식 라이프 사이클(Memory Forensics Lifecycle) Michael Ligh가 2015년 OSDFCon에서 발표한 내용을 프레지로 공개한 PlugX: Memory Forensics Lifecycle 이라는 제목의 자료가 있습니다. 쓱 보니 도움이 되는 내용이 많아 개인 공부 목적으로 정리를 해보았습니다. 부족하지만 다른 분들에게도 참고가 되었으면 합니다. 원본 출저: https://prezi.com/6ruvzpnpp-8y/plugx-the-memory-forensics-lifecycle/ 1. 개요 전반적인 내용은 PlugX의 변형된 버전이 감염된 시스템을 분석하는 것으로 영상을 통해 설명을 합니다. 해당 악성코드의 정보는 여기에서 확인할 수 있습니다. PlugX는 지속성을 위해 RasTIs라는 서비스를 설치합니다. 그리고 사용자나 분석가가 라이브 상태에서.. 더보기