All
-
윈도우 기반 VSC 접근 및 분석 (1)CERT/Forensic 2019. 3. 7. 11:29
→ VSC(Volume Shadow Copies) 접근 전 레지스트리 키 값을 확인해야 한다. HKLM\System\CurrentControlSet\Services\VSS HKLM\System\CurrentControlSet\Control\BackupRestore FileNotToBackup : 백업 애플리케이션이 백업하거나 복원하지 말아야 할 파일과 디렉토리의 목록 정리 FileNotToSnapshot : 새로 생성된 섀도 카피에서 삭제되어야 하는 파일의 목록 정리 KeysNotToRestore : 복원되지 말아야 하는 서브키와 밸류의 목록 정리 → 동작 중인 윈도우 시스템에서 VSC에 접근하기 위해선 vssadmin 명령어를 이용할 수 있다. C:\>vssadmin list shadows /for=c..
-
dd를 활용한 디스크 이미지 덤프 및 분석환경 구성 (Linux 환경 테스트)CERT/Forensic 2019. 2. 22. 10:26
→ 덤프 파일을 저장할 USB 디스크를 인식 후, "fdisk -l" 명령을 입력한다. → 현재 이미지 덤프 목표 파티션은 "/dev/sda1"이며, 덤프 파일을 저장할 USB 디스크는 "/dev/sdc1" 이다. 먼저, "/dev/sdc1" 장치를 사용할 수 있도록 마운트 작업을 한다. → /usb 라는 디렉토리를 생성한 후, "sudo mount /dev/sda1 /usb" 명령어를 입력한다. root 권한으로 /dev/sda1 파티션을 /usb 폴더로 마운트 하는 작업이다. → 파일시스템을 확인하는 명령어인 "df -h"를 입력하여, 마운트가 정상적으로 이루어진 것을 확인한다. → 마운트가 정상적으로 이루어졌으며, Linux 운영체제에서 USB 디스크를 사용할 수 있다. → 아래와 같은 명령어를 입..
-
[Toddler's Bottle] randomWargame/pwnable.kr Challenge 2019. 2. 19. 10:29
→ 힌트는 아래와 같다. → random.c 소스 파일이다. → 코드를 해석해보면, random 변수에 rand() 함수를 통해 얻은 값과 사용자로부터 입력받은 key 값을 서로 XOR 연산하여 0xdeadbeef 라는 값을 생성하면 flag 값을 볼 수 있는 문제이다. → 여기서 rand() 함수에 주목할 필요가 있다. rand()를 통해 생성되는 난수는 임의로 생성되는 난수이지만 이는 고정적이기 때문에, 다시 난수를 생성해도 고정된 값이 생성된다. 따라서, rand()의 리턴 값을 미리 알아낸다면 random 이라는 난수에 들어갈 값을 알아낼 수 있다. → 다음 난수를 미리 알고 있다면, 미리 입력할 key 값을 xor 연산하여 미리 0xdeadbeef 값으로 맞춘다면 문제는 풀리게 된다. → 리눅스..
-
iOS 콘솔 로그 출력(Console log)Pentesting/iOS 2019. 2. 14. 17:48
아이폰 앱(iOS app) 로그 보는법 → iOS 앱 진단시 디버깅 정보 노출 여부를 확인하는 진단항목이 있다. 이를 확인하기 위해서 Windows 진단 환경에선 iTools 도구를 사용했으나 유료버전이다. → 하지만, 아래 방법에선 콘솔 로그를 무료로 캡처 가능하다. 명령어 sdsiosloginfo.exe -d > C:\iOSLogInfo\consolelogs.log Found a good article on the web on how to get XCode logs off a device if you do not have a MAC.How to capture iOS Console Logs on Windows PC - iOS 11 CompatibleAll credits and rights:Sami Ba..