Gflow

Window Registry-Analysis [4]

Digital Forensic/Windows-Forensic Gflow 2017. 12. 21. 16:18

본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 지난번 포스팅에 이어서 이번 포스팅에는 컴퓨터에서 검색한 흔적과 최근열어본 파일목록, 매체 정보등에 대해서 알아보도록 하겠습니다. 1. 컴퓨터 內 검색 목록 ■ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery [컴퓨터 內 검색 목록] 컴퓨터를 사용하면서 빠르게 문서나 파일을 찾기위해 검색 기능을 사용합니다. 이러한 흔적은 포렌식 수행 시 특정 파일을 의도적으로 찾기 위한 단서로 중요한 정보가 됩니다. 2. 최근 열어본 파일 목록 ■ HKCU\SOFTWARE\Microsoft\Windows\CurrentV..

Window Registry-Analysis [3]

Digital Forensic/Windows-Forensic Gflow 2017. 12. 18. 16:18

본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 지난 포스팅에 이어서 레지스트리 분석에 대해서 알아보도록 하겠습니다. 이번 포스팅에서는 윈도우에서 기본으로 제공하는 워드패드, 그림판, MS OFFICE, 한글(HWP), Adobe(PDF)에 대해서 보도록 하겠습니다. 1. 그림판에서 열어본 파일 목록 ■ HKCU\SOFTWARE\Microsoft\Windows\Applets\Paint\ [그림판에서 열어본 파일 목록] 그림판을 이용한 간단한 이미지 조작과 같은 흔적을 찾을때 중요한 정보가 됩니다. 그림판을 통해 열어본 파일 목록을 저장하고 있으며, 저장되는 File#에서 #(숫자) 가 낮을 수록 최근에 열어본 파일 입니다. 2...

Window Registry-Analysis [2]

Digital Forensic/Windows-Forensic Gflow 2017. 12. 14. 16:17

본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 앞서 레지스트리 구성과 채증하는 방법 그리고 분석하는 방법에 대해서 알아 보았습니다. 이번 포스팅에서는 레지스트리를 통해 얻을 수 있는 정보들에 대해 알아 보도록 하겠습니다. (해당 내용이 많으므로 여러 횟차에 걸쳐 포스팅 하겠습니다.) 1. 시스템정보 ■ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion cmd창에서 systeminfo명령어를 입력하였을 때와 같이 시스템에 대한 전반적인 정보를 담고있습니다. -OS 설치 정보, 버전, 사용자정보 등 [시스템정보] 2. 사용자의 PC에 설치된 프로그램 목록 ■ HKLM\SOFTWARE\Micr..

Windows Registry Analysis[1]

Digital Forensic/Windows-Forensic Gflow 2017. 12. 11. 16:16

본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 윈도우의 레지스트리는 리눅스의 커널과 같이 중요 핵심 구성 요소입니다. 모든 정보가 레지스트리에 저장된다고 봐도 될만큼 윈도우 포렌식에 있어서 레지스트리만 분석을 잘하여도 원하는 증거를 채증할 수 있습니다. 물론 이는 해당 OS가 윈도우여야 한다는 가정입다. 본 포스팅에서는 윈도우 포렌식의 기본이 되는 레지스트리에 대해서 어떤 정보들을 채증하여 활용할 수 있는지에 대해서도 알아 보도록 하겠습니다. 1. 레지스트리 구성레지스트리의 구성은 크게 5가지의 항목으로구성되어 있습니다.(레지스트리 편집기를 통해 확인 할 수 있으며, Windows + R 을 누른 후 regedit을 입력하여 ..

[Browser Exploit] 3 Step To Exploit Edge

System/Windows Gflow 2017. 9. 20. 23:30

출처: http://blogs.360.cn/blog/three-roads-lead-to-rome-2/ 출처: https://github.com/Microsoft/ChakraCore 설명하는 edge 취약점은 이미 해결된 취약점입니다. 다음은 Bug trigger code 입니다. __proto__ 구성은 함수에만 해당되는 속성입니다. JS에서는 함수를 정의하고 파싱단계에 들어가면 내부적으로 수행되는 작업이 존재합니다.var intarr = new Array(1, 2, 3, 4, 5, 6, 7) var arr = new Array(alert) arr.length = 24 arr.__proto__ = new Proxy({}, { getPrototypeOf:function() { return intarr } ..

[Window Application Exploit] ROP2

System/Windows Gflow 2017. 9. 18. 23:30

본 exploit code는 이전 ROP를 수행했던 vuplayer와 같은 조건과 환경에서 실습하였습니다. Step 1. Application 프로그램을 실행시키면 평범한 형태의 음악 재생 프로그램이라는 것을 알 수 있습니다. 이전과 마찬가지로 input 값을 넣을 수 있는 부분을 추측하자면 playlist를 추가하는 곳을 추측할 수 있습니다. m3u 형태의 파일을 생성해 “A”를 20000bytes정도 넣어주었더니 아래의 그림과 같이 SEH handler가 바뀐 것을 알 수 있습니다. 따라서 SEH overwrite기법이 가능합니다. 패턴을 만들어 handler 함수까지의 offset을 알아낼 수 있습니다. Step 2. 취약점 패턴을 넣어 알아낸 SEH handler까지의 offset은 5144byt..

[Window Application Exploit] ROP

System/Windows Gflow 2017. 9. 15. 23:30

본 exploit code는 module rebase를 고려하지 않는 환경을 기준으로 생각해주시기 바랍니다. Step 1. Application 처음 프로그램을 실행시키면 아래와 같은 실행화면이 나오게 됩니다. 보통 music player같은 프로그램들은 playlist나 음악 파일 같은 걸로 input을 넣게 됩니다. 따라서 위의 화면에서 추정해보면 붉은 상자 안에 폴더나 playlist들을 open하는 곳이 input을 넣을 수 있는 부분이라고 생각할 수 있습니다. Step 2. 취약점 BOF 취약점을 확인하기 위해서 위와 같은 code를 이용해 m3u file을 만들고 해당 파일을 playlist에 추가시킵니다.import struct exploit = "A"*20000 file = open("ex..

Copyright © Gflow All Rights Reserved

티스토리툴바