분류 전체보기 (157) 썸네일형 리스트형 [Rev] Open Sesame [Misc] Fork bomb protector We built a playground for people to try out Linux. We are tired of customer complaints about malicious fork bombs rummaging the server, hogging system resources, and bringing everything down to a crawl, so we built our own proprietary fork-bomb protector. As an "unintended" consequence of that, people cannot run commands normally. Our genius head of the engineering team suggests this to be a sec.. [SWING] Reversing 08 PE 구조 분석 PE파일이란? PE(Portable Executable)파일은 윈도우 실행파일이다. UNIX의 COFF(Common Object File Format)을 기반으로 만들어졌다. windows 환경에 따라 다르게 부르는데 32bit환경에서는 PE32, 64bit환경에서는 PE+또는 PE32+라고 불린다. Linux나 Unix와 같은 계열의 환경에서는 PE파일과 비슷한 형식으로 ELF(Executable and Linkable Format)파일이 존재한다. PE파일을 통해서 프로그램이 사용하는 API 또는 DLL 등 다양한 정보와 어느 메모리 주소에 로딩되는지 확인할 수 있다. PE파일 종류 1) 실행 계열 : EXE, SCR 2) 라이브러리 계열 : DLL, OCX, CPL, DRV 3) 드.. GrrCON 2015 #1, #2, #3, #4, #5, #6 http://www.ctf-d.com/challenges 저기서 파일을 다운받는거라던데 열리지 않아서 문제를 어디서 구해야할까 걱정했는데, Target1-1dd8701f.vmss 파일로 #1 ~ #16 문제를 전부 푸는거라고 하더라. vmss는 가상 머신에서 일시 중지(suspend) 상태일 때 운영체제 상태를 저장한 파일 확장자이다. 풀어보자. #1 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 주소는 무엇인가? volatility 라는 오픈 소스 기반으로 CLI 인터페이스 제공하는 메모리 분석 도구를 사용한다. -h : 플러그인 옵션 확인 -f 분석 대상 파일 imageinfo : profile .. [SWING] Reversing 07 메모리 구조 프로그램이 실행되기 위해서는, 먼저 프로그램이 메모리에 로드(load)되어야 하고, 프로그램에서 사용되는 변수들을 저장할 메모리도 필요하다. 따라서 컴퓨터의 운영체제는 프로그램의 실행을 위해 다양한 메모리 공간을 할당하고 있다. 1. 코드(code) 영역 2. 데이터(data) 영역 3. 스택(stack) 영역 4. 힙(heap) 영역 코드(code) 영역 실행할 프로그램의 코드가 저장되는 영역으로 텍스트(code) 영역이라고도 부른다. CPU는 코드 영역에 저장된 명령어를 하나씩 가져가서 처리한다. 데이터(data) 영역 프로그램의 전역 변수와 정적(static) 변수가 저장되는 영역이다. 데이터 영역은 프로그램의 시작과 함께 할당되며, 프로그램이 종료되면 소멸한다. 스택(stack) 영역.. 우리의 추억들 N0Named Wargame 사이트가 안 열려서... 받은 파일로 문제를 풀어보겠다. 실수로 삭제한 사진을 복구하는 문제라고 한다. 압축 파일 암호 fun_cool_and_sexy_forensic_> AppData -> Local -> Microsoft -> Windows -> Explorer 저기 보이는 DB 중에 수상해보이는 녀석들 몇개를 Export Files 해준다. 저 안에 플래그가 있다고 한다. Thumbnail Database Viewer 로 열어주면... 대체 왜 파일 열기를 했는데 아무 일도 일어나지 않는걸까? 96.db는 흰 화면이고 1280db, 1920.db, 2560.db 는 저런 식의 깨진 화면이 나온다. 왜인지 계속 오류가 나서... 툴도 다시 깔고 과정을 처음부터 해봤는데도 .. [Dreamhack] FFFFAAAATTT 일단 문제 이름을 보니 FAT32 File System 부트 레코드 관련 문제인 것 같다. 다운받은 파일을 HxD로 열어서 위와 같이 [ 도구 -> 디스크 이미지 열기 -> 512 ]를 선택하면 시스템 이미지 파일이라는걸 알 수 있다. Fix the Disk!!!! 라는 문자열이 계속 나오다가 RRaA라는 글자 뒤로 보이지 않는 것을 확인할 수 있다. Fix the Disk란 말은 뭔가 손상된 것을 고치란 말이겠지. 지금 내 파일에서는 왜인지 안 보이는데... 섹터 0 부분에 Fix the Disk! 문자열이 들어가 있어서 정상적으로 인식이 안된다고 한다. RRaA 바로 윗줄까지는 섹터 0 이고 RRaA부터는 섹터 1 이다. Exterro - E-Discovery & Information Governan.. [SWING] Reversing 06 레지스터 Register는 CPU 내부에 존재하는 다목적 저장 공간이다. 이름 크기 (bit) 용도 범용 레지스터 EAX 32 주로 산술 연산/함수 결괏값 저장 EBX 32 특정 주소 저장 (함수 호출 시 ESP 값) ECX 32 반복 횟수 저장 EDX 32 일반 자료 저장 세그먼트 레지스터 CS 16 코드 세그먼트 SS 16 스택 세그먼트 DS 16 데이터 세그먼트 프로그램 상태와 컨트롤 레지스터 EFLAGS 32 ZF, OF, CF 등 상태 표시 Instruction Pointer EIP 32 CPU가 처리할 명령어의 주소를 나타냄 어셈블리어 1. 비트연산 : shift 연산 1) 부호가 없는 연산 - 왼쪽으로 이동 : shl - 오른쪽으로 이동 : shr 2) 부호가 있는 연산 (MSB를 유지) -.. 이전 1 ··· 9 10 11 12 13 14 15 ··· 20 다음
