문제 1 : 주어진 defcon.mem 메모리의 SHA1 해시 값은 무엇인가?
문제 4 : wscript.exe 프로세스의 자식 프로세스 이름은?
명령어 = vol.exe -f Defcon.mem --profile=Win7SP1x64 pstree (프로세스를 트리구조로 봐야함)
... 으로 들어가 있는 부분이 자식 프로세스
문제 6 : 악성 프로세스로 인하여 연결된 세션의 공격자 IP는?
netscan입력했을 때 State가 ESTABLISHED 인것들을 찾아봄.
포트 번호도 이상하고 파일 이름도 이상한게 있음. 이게 악성파일인듯
칼리에서 msfvenom 할 때 포트 번호 지정 안하면 4444가 디폴트로 지정됨.
문제 7 : VCRUNTIME140.dll을 로드하고 있는 프로세스의 이름?
문제 8: 악성 파일 md5 해시값?
처음에 난 dlllist.txt에서 악성파일 이름을 검색해서 찾았다. 근데 강사님은 netscan | findstr ESTAB 으로 악성파일 PID를 찾으셨다. 그냥
-D [저장 경로] 인 데 현재 경로에 생기도록 하기 위해 . 만 입력해줌
문제 9 : bob 사용자 계정의 LM 해시 값은?
앞에 LM 해시, 뒤에 LTLM 해시 라고 한다.
비밀번호가 취약하다. 관리자 게스트 사용자 비밀번호가 다 같다. 솔트값 x
2222 -> aad3b435b51404eeaad3b435b51404ee
레인보우테이블 = 해시값 모아놓은 테이블
* 솔트 값 = 2222 + abekd 임의의 값을 붙여줌.
문제 12 : PC에 실행되었던 VBS 파일의 이름?
문제 13 :2019-03-07 23:06:58 시점에 실행된 프로그램은?
Skype가 실행됐었음.
문제 14 : 메모리 덤프 시점에 notepad.exe에 쓰여있던 문자에서 답을 찾으시오.
예) flag<???(15글자)>
vol.exe/ strings.exe 사용툴
notepad.exe의 PID를 찾아줌. memdump로 dmp 파일 만들기.
문제 16 : metepreter로 세션을 연결시키는 악성파일의 PID 번호?
이미 아까 문제 8번에서 악성파일의 PID 3496을 알아냈다. 그리고 md5해시값도 출력했다. 근데 확실히 이게 악성파일인지 확인해보기 위해서 얻은 md5해시를 virustotal.com에 입력해서 이게 악성파일인지 확인해본다.