INSPECT

[Metasploit을 이용한 모의해킹] - 피싱메일 Metasploit을 이용한 모의해킹(피싱메일)이다. 가상망은 ICT청년취업아카데미 과정의 이성원 포렌식 강사님이 GNS3를 이용해 만들어 주셨다. 0. 주어진 정보 네트워크 172.10.10.0/24게이트웨이 .52/24공격대상 도메인 victim.com 1. IP주소 획득, 네트워크 스캐닝 (1) victim.com의 ip주소를 알아내기 위해 nslookup 명령을 사용했다.www.victim.com의 ip주소는 172.10.10.2 라는 것을 확인할 수 있다. (2) 네트워크 정보가 주어졌기 때문에 스캐닝을 할 수 있다. nmap을 이용해 네트워크 스캐닝을 했다,nmap -sT -sV -O 172.10.10.0/24 nmap은 Windows에 설..

sooak.exe 악성코드 분석 1. 개요 파밍 악성코드의 수법이 정밀해지고 있다. sooak.exe 악성코드는 중국의 유명 sns, 블로그 서비스인 pengyou와 qq를 이용하여 C&C서버에 접속해 변조된 금융권 사이트, 포털 사이트로 연결시키는 방식이다.악성코드 샘플을 직접 정적분석하려 했으나 VMProtect로 패킹되어 있었고, 언패킹을 시도했으나 완벽하게 되지 않아 실패했다. VMProtect 언패킹 방법은 추후에 글을 올리겠다.따라서 이 글은 직접 코드분석은 하지 못하고 Virustotal, malwares.com의 분석 내용과 동적분석을 통해 종합한 내용이다. https://www.virustotal.com/ko/file/283d2b410989d3725e5156cc2edc9e7fc8eea04..

[13회 HDCON 해킹방어대회 문제풀이]사고분석1-1 문제 recme.zip파일을 다운로드 받아 hxd로 열어보았다. zip파일의 시그니처가 보이지 않는다. zip파일의 구조는 위와 같다. recme.zip 파일은 현재 Local File Header와 파일명까지 보이지 않으므로 그 부분까지 복구하면 된다. 복구하기 위해 Central Directory 구조를 보고 Header부분에 알맞게 채워주면 된다. 먼저 마지막 부분 End Central Directory Record를 보면 Total entries(Central Directory에 있는 항목의 수)가 1이다. 따라서 Central Directory 구조는 색칠된 부분이다. 이 부분을 보고 복구하면 된다. 맨 첫부분 시그니처부분은 504B 030..