0707
문제 : FTK Imager에서 디스크 마운트 및 증거 추가를 완료하였다. Evidence Tree 에서 삭제된 파일 리스트를 확인할 수 있는 폴더는?
나의 답 : Recycle.bin
정답 : root
해설 : 나의 답은 휴지통을 생각했는데, 그 전에 root 폴더에서 먼저 삭제된 파일들의 목록을 확인할 수 있다.
문제 : FTK Imager에서 메모리 덤프를 진행했는데 갑자기 노트북이 강제종료 되었다. 해당 오류를 해결하여 무사히 메모리 덤프를 진행하려면 어떻게 해야 하는가?
나의 답 : 커널 메모리 덤프 정보 사용
정답 : 가상화 모드 해제
해설 : 문제 이해를 잘못했다. 메모리 덤프 진행 도중 강제 종료되었을때 이어서 덤프를 진행하는 방법에 대한 질문으로 오해하고 커널 메모리 덤프 정보를 사용하면 된다고 답했다. 그러나 메모리 덤프가 제대로 진행회지 않는 경우에는 일단 가상화 모드 여부를 확인하고 이를 해제하면 해결된다.
0712
문제 : Volatility 에서 프로세스를 볼 수 있는 도구로 옳지 않은 것은?
나의 답 : passcan
정답 : pssee
해설 : psscan은 프로세스 목록 출력, 특히 숨겨진 프로세스도 확인할 수 있다. 분명 pssee라고 생각했는데 왜 저걸 골랐지
문제 : 프로세스가 실행될 때의 인자 값을 확인하려고 한다. 이때 사용해야 할 명령어를 고르세요.
나의 답 : cmdscan
정답 : cmdline
해설 : cmdline : 프로세스가 실행될 때의 인자값 확인할 수 있음 / cmdscan : 콘솔에 입력한 값들 볼 수 있음
두개를 서로 헛갈린듯하다.
문제 : [GrrCON 2015 관련 문제] 공격자의 악성코드는 프로세스 인젝션을 사용하는 것으로 보인다. 악성코드에 인젝션된 프로세스의 PID는 무엇인가? (숫자만 작성)
나의 답 : 1856
정답 : 2996
해설 : 제대로 복습 안한듯. 다시 정리해야겠다.
문제 : [GrrCON 2015 관련 문제] 해커조차도 평문으로 데이터를 전송한다. 공격자는 평문 암호를 덤프하기 위해 옮긴 도구 중 하나를 사용했다. 프런트 데스트 로컬 관리자 계정의 암호는 무엇인가? (KEY Format : Password@1234)
나의 답 : 없음
정답 : flagadmin@1234
해설 : 이 부분도 정리를 제대로 안하고 넘어갔다. 다시 정리해야겠다.
문제 : [Volatility Cridex 관련 문제] reader_sl.exe에 대해 메모리 덤프를 진행했다. 생성한 파일에서 발견할 수 있는 악성 URL를 작성하시오. (KEY Format : http://...)
나의 답 : http://188.40.0.138:8080/zb/v_01_a/in/cp.php
정답 : http://41.168.5.140:8080/zb/v_01_a/in/
해설 : 정답이 될 수 있는 후보가 많았는데 주소를 잘못 생각했다.
0714
문제 : volatility의 sockets 명령어를 통해 확인할 수 없는 정보는?
나의 답 : offset
정답 : ppid
해설 : sockets는 활성화 된 네트워크 연결 정보를 알 수 있는 명령어이다. 그러나 ppid정보는 확인할 수 없다. 직접 실습을 통해 확인해야겠다.
문제 :
나의 답 :
정답 :
해설 :
문제 :
나의 답 :
정답 :
해설 :
문제 :
나의 답 :
정답 :
해설 :
문제 :
나의 답 :
정답 :
해설 :
문제 :
나의 답 :
정답 :
해설 :
'해킹 공부 > 디지털 포렌식' 카테고리의 다른 글
| Volatility Cridex 풀이 정리 (0) | 2022.07.17 |
|---|---|
| Volatility 명령어 정리 (0) | 2022.07.17 |
| section 1) 도구 실습_삭제된 파일 복구 (0) | 2022.07.07 |
| section 1) 디지털 포렌식 기초 (0) | 2022.07.07 |
| section 2) 침해사고 대응기법_도구 설치, 환경 설정, 문제 다운로드 (0) | 2022.07.07 |