메모리2 [RC3 2016] - Reversing 100pt 대회기간 : 토요일, 19 11월 2016, 02:00 UTC — 월요일, 21 11월 2016, 07:00 UTC 대회명 : RC3문제 : logmein - Reversing [100pt] 1. 흐름 파악 바이너리를 다운 받고 HxD로 열어보면 ELF파일임을 알 수 있다. 64 bit ELF파일이었고 IDA를 통해서 정적 분석을 먼저 시도하였다. (RC3의 모든 Reversing는 64 bit / ELF 바이너리였다.) String 값들을 확인해 보면 "Enter your guess"에서 Data를 넘겨주면 어떠한 연산을 거쳐 성공 분기점이 나눠지는 걸 알 수 있다. 2. 정적 분석 scanf로 입력 값을 받은 뒤 strlen으로 입력 길이를 체크 후 분기점으로 나뉘게 된다. 또 한, 중간중간 연산 결.. 2016. 11. 21. [메모리포렌식]볼라틸리티 명령어 정리 #메모리 포렌식 #볼라틸리티 #Volatility #라이브 포렌식 파란색 - 입력 값 빨간색 - 플러그인 1. python vol.py -f --profile= [args] 다음은 볼라틸리티(volatility)의 기본 명령어 형태이다.프로파일을 지정하지 않을 경우 기본 프로파일인 WinXPSP2x86으로 동작한다. 2. python vol.py --help플러그인의 명령어를 보기 위해서는 플러그인의 이름과 -h/--help를 추가하면 된다. 3. python vol.py -f imageinfo 각 시스템마다 사용해야 할 데이터 구조, 알고리즘, 심볼들이 다르기 때문에 메모리 덤프가 어느 시스템에서 수집되었는지 프로파일을 알려주는 명령어다. 4. python vol.py -f kdbgscan 5. pyt.. 2016. 5. 6. 이전 1 다음
