SEO

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

Q1. We need to identify the process responsible for this suspicious behavior. What is the name of the suspicious process?python vol.py -c config.json -f memory.dmp windows.pstree 가장 처음 의심스러운 프로세스를 특정하기까지 과정은 동적으로 볼 수가 없다보니  좀 때려맞췄습니다.. 하하pstree 플러그인을 이용하여 목록을 확인하였고, winlogon.exe 하위 프로세스로 ChromeSetup.exe가 있는 것을 보았습니다. 악성코드들은 지속성을 확보하기 위해 자동 실행 레지스트리 키를 등록해두는 경우가 많습니다.그래서 자동 실행 레지스트리 키에 등록된 악성코드일 ..

Message = b"\x2d\x5a\x29\x28\x34\x1e\x16\x05\x1d\x26\x17\x01\x12\x30\x01\x0a\x1c\x35\x1d\x16\x1d\x13"known_plaintext = "?????"print('-----*-----*-----*-----*-----')Mlen = len(Message)Klen = len(known_plaintext)result = ""for i in range(Mlen): result += chr(Message[i] ^ ord(known_plaintext[i%Klen]))print(result)문제 코드는 위와 같다. 변수명을 통해 알려진 평문은 이용하여 공격해보는 문제라는 것을 알 수 있다. 이 문제의 힌트는 다음과 같다.1. XOR은 A..

Serial 값이 5B134977135E7D13인 Name 을 찾는 문제이다. Name과 Serial을 입력받는 서브루틴 함수 시작 부분으로 이동하였다. 사용자의 Name 입력값을 스택에 담은 후에 그 주소를 EDI 레지스터로 옮겼다. Serial을 입력받는 서브루틴 함수로 들어가면 EAX 레지스터에 담긴 값(사용자가 입력한 Serial 값)과 ESI 레지스터에 담긴 값(사용자가 입력한 Name 값을 바탕으로 정답이 되는 Serial 값)을 비교한다.즉, ESI 레지스터에 담길 값이 5B134977135E7D13 일 때 Name이 일치한다.다시 거슬러 올라가 분석해보겠다. XOR 부분을 분석하면 다음과 같다.10이랑 Xor => 5B20이랑 Xor => 1330이랑 xor => 4910이랑 xor => ..

Serial 값을 맞추는 문제 성공 문자열을 추정되는 곳으로 이동 GetDIgUtemTextA 함수를 호출한 후에 CMP 비교를 하고 실패 메시지박스로 이동하거나 계속해서 명령어를 실행시킨다. 사용자의 둘째 입력값을 CMP 구문에서 비교한다. 사용자의 나머지 입력값이 들어있는 부분의 주소를 ECX로 옮긴다. 위 함수에서 사용자의 특정값을 비교하여 1 또는 0을 반환하는 것으로 추정 함수 안 서브루틴으로 들어가보면 사용자가 입력한 나머지 값을 EDI 레지스터로 옮김 그 값을 ESI 레지스터로 옮김 비교할 값(5y)을 ESI 레지스터로 옮김 사용자의 나머지 값을 R3versing이라는 값과 해당 for문에서 비교하는 것으로 추정 사용자가 입력한 값 중 첫째값을 가장 마지막에 계산한다.따라서 첫째값은 45이고..

보호되어 있는 글입니다.