처음에 조금 긴가민가 했던 점이 문서형 악성코드를 공부해야할 것인지, 아니면 Windows 이미지 뷰어, pdf 뷰어 자체에서 악의적인 코드가 실행되거나 뷰어 자체에서 발견되는 취약점을 공부해야할 것인지였다. 생각해보면 후자에 가까울 것 같고.. 문서 파일에 악성코드를 삽입하는게 아니라 뷰어 자체에 취약점이 발견될 수 있는지를 공부해보기로 했다. png 파일과 jpeg 파일 구조는 이곳에서 다뤄본 적이 있으니 일단 pdf 파일 포맷에 대해 적어보겠다.https://spacefriend.tistory.com/48https://spacefriend.tistory.com/49 PDF 파일 분석을 위해 pdf 파일 하나를 만들어보았다. pdf 파일을 텍스트 앱에서 열거나 분석을 위한 Hex 툴 등을 이용하면 다..

🪟Windows Incident Surface  해당 문제의 WriteUp를 작성해볼 것이다.https://tryhackme.com/r/room/winincidentsurface          openvpn을 통해 kali linux에 vm 배포를 진행해 준비를 완료했다. 이렇게 연결하면 tun0에 tryhackme의 세팅이 나타나는 것을 확인할 수 있다. 칼리 리눅스로부터 windows try hack me 실습환경에 진입했다.task 3까지는 세팅 및 시나리오 설명 내용이므로 task 4부터 진행하겠다. 해당 명령어를 이용해서 칼리 리눅스 RDP에 접속해주었다.xfreerdp /u:(username) /p:(password) /v:(Machine IP) /dynamic-resolution     ..

이번 게시글에서는 윈도우 포렌식 SKS! 스터디를 진행하면서 이해를 위해 진행해본 실습들을 담아볼 것이다. Windows Artifacts는 Windows의 사용자가 수행하는 활동들 (시스템에 의해 생성된 증거들)의 정보를 보유하고 있는 하나의 개체이다. Windows Artifacts는 생성증거로서 자동으로 프로세스, 시스템에서 생성되는 데이터이며, 자동으로 생성된 데이터를 직접 추적해 사용자의 행위들을 분석하는 포렌식을 진행해볼 수 있다. 다양한 아티팩트의 분석은 디지털 포렌식에서 매우 중요한 역할을 하고있고, 사용자 행동 추적, 시스템 오류 분석과 같은 목적으로 사용할 수 있다. 이번 글에서는 윈도운 시스템 아티팩트의 종류를 알아보고, 분석할 수 있는 포렌식 툴들을 소개해볼 예정이다.✨윈도우 포렌식..

메모리 포렌식의 목적: 프로세스의 행위 탐지, 네트워크 연결 정보, 사용자 행위, 복호화, 언패킹, 디코딩된 데이터, 패스워드와 암호 키 획득가상 메모리 공간은 운영체제에서 매우 중요한 개념임메모리 포렌식의 대상: 물리 메모리, 페이지 파일, 하이버네이션 파일  http://www.porcupine.org/forensics/forensic-discovery/chapter8.html Chapter 8: Beyond ProcessesSide bar: The Quick-and-Dirty Way to Capture Memory While we advocate using a special-purpose program like memdump you might run into a situation where you ..

Steganography (스테가노그래피)사진, 음악, 동영상 등의 파일 안에 데이터를 숨기는 것(JPG, MP4, MP3, DOC, 폰트에 숨기기 가능함) steganography 암호화 기술을 해독하려면 사진에서 flag 값을 찾을 수 있어야 할 것이다.문제를 풀어보기에 앞서 PNG, JPG 파일 구조에 대해서 조금 더 알아보겠다.  PNG의 파일 구조시그니처89 50 4E 47 0D 0A 1A 0A푸터 시그니처49 45 4E 44 AE 42 60 82 PNG ChunkIHDR Chunk, PLTE Chunk, IDAT Chunk, IEND Chunk로 이루어져 있다.  JPEG의 파일 구조SOIStart of ImageFF D8APPnApplication-Specific (JFIF/JFXX)FF E..