CHIqueen

윈도우 메모리문제 kdbgscan으로 Win7SP1x64 찾아주고 python vol.py -f jarred3.vmem kdbgscan Volatility Foundation Volatility Framework 2.6.1 ************************************************** Instantiating KDBG using: /home/sansforensics/Desktop/volatility/jarred3.vmem WinXPSP2x86 (5.1.0 32bit) Offset (P) : 0x2a080a0 KDBG owner tag check : True Profile suggestion (KDBGHeader): Win7SP1x64 PsActiveProcessHead : 0..

lUbuntu 메모리 포렌식 문제다. 문제 파일로는 메모리, System.map, dwarf가 주어지는데 시스템맵이랑 드워프를 사용해 프로파일을 만들어야 한다. 최근에 Volatility 3버전 베타가 나왔길래 써볼라 했더니 뭔지도 모르겠고 wiki에서는 symbol머시기 머 이렇게 저렇게 하라는데 모르겠고 그냥 시간 버리다가 그냥 2.6.1로 하기로 했다. https://github.com/volatilityfoundation/volatility/wiki/Linux volatilityfoundation/volatility An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by c..

압축 풀기 문제다. 비밀번호는 압축한 파일중 가장큰 용량을 가진 파일이다. 이 파일들은 AES로 암호화 되어있기 때문에 내장 라이브러리인 zipfile로는 못풀고 pyzipper를 사용해야한다. import pyzipper import shutil import os import timeit def getAns(testpw, largest, some_zip, flag): global cycle answer='' status=0 for i in testpw: if(flag==1 and i == largest): continue try: some_zip.extract(largest, path='temp/', pwd=i.encode()) except RuntimeError: #print("fail pw") st..