촉촉한초코칩

보호되어 있는 글입니다.

문제 상근이의 동생 상수는 수학을 정말 못한다. 상수는 숫자를 읽는데 문제가 있다. 이렇게 수학을 못하는 상수를 위해서 상근이는 수의 크기를 비교하는 문제를 내주었다. 상근이는 세 자리 수 두 개를 칠판에 써주었다. 그 다음에 크기가 큰 수를 말해보라고 했다. 상수는 수를 다른 사람과 다르게 거꾸로 읽는다. 예를 들어, 734와 893을 칠판에 적었다면, 상수는 이 수를 437과 398로 읽는다. 따라서, 상수는 두 수중 큰 수인 437을 큰 수라고 말할 것이다. 두 수가 주어졌을 때, 상수의 대답을 출력하는 프로그램을 작성하시오. 입력 첫째 줄에 상근이가 칠판에 적은 두 수 A와 B가 주어진다. 두 수는 같지 않은 세 자리 수이며, 0이 포함되어 있지 않다. 출력 첫째 줄에 상수의 대답을 출력한다. 문..

Volatility - 메모리 포렌식 도구. 오픈소스. CLI 인터페이스 제공 - Volatility에서 증거를 획득할 수 있는 이유 : 메모리 내의 프로세스 분석 Volatility 명령어 정리 운영체제 식별 - imageinfo : 메모리 덤프의 운영체제 식별 프로세스 검색 - pslist : 시간 순서대로 보여줌 - psscan : 숨겨진 프로세스 출력 가능 - pstree : PID, PPID 기준으로 구조화하여 보여준다. - psxview : pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있다. 네트워크 분석 - netscan : Windows 7이상에서 동작. TCP, UDP 프로토콜로 이루어지는 통신 조회 IPv4, IPv6 지원 * Listening : socket을 ..

1) 이미지 식별 -> 운영체제 선택 (Win7SP1x86) 2) pslist, psscan, pstree, psxview, connections, cmdline, cmdscan, consoles.log 파일 생성 3) 의심스러운 파일 찾아내기 * pslist보다 pstree에서 PID와 PPID를 먼저 보는 것이 좋다. * 프로세스들 이름 검색해보기 * 의심스러운 프로세스 하위 프로세스도 의심해본다. 4) pslist에서 시간순서대로 의심스러운 프로세스나 명령어 보기 * 해커가 어디서부터 침투했는지 확인 TeamViewer.exe부터 확인 -> PID 값 확인 5) 의심스러운 프로세스 memdump cmdscan.log 파일에서 해커가 어떤 명령어를 실행했는지 확인한다. 봐야 할 것 1. outlook..

Volatility 도구 : 메모리 관련 데이터를 수집해주는 도구 1) volatility -f imageinfo -> volatility_2.6_win64_standalone.exe -f ./cridex.vmem imageinfo imageinfo : 메모리 덤프를 보고 volatility가 어떤 운영체제의 메모리 덤프인지 판단 어떤 운영체제인지에 대한 값이 앞으로의 모든 분석에서 사용된다. 모든 분석에 앞서서 imageinfo를 통해 메모리가 어떤 운영체제의 메모리인지 찾아야 한다. 2) pslist : 프로세스들의 리스트를 출력한다. -> 출력되는 내용을 pslist.log에 저장한다. 3) volatility에서 프로세스들을 볼 수 있는 도구 : psscan, pstree, psxview -> l..

보호되어 있는 글입니다.