CHIqueen

작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다. 기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다. 그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품) 지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다. 실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다. HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다. 그니까 b가 제일 최근에 실행이 되었음을 알 수 있다. 우리는 이를 메모리에서 찾아 보려고 한다. HKCU는 NTUSER.dat파일을 보면 된다. 먼저 hivelist 플러그인으로 ..

FileZilla는 FTP프로그램이다. %UserProfile%\AppData\Roaming\FileZilla 안에 파일 들이 있다. filezilla.xml과 recentsevers.xml를 주의깊게 보시면 됩니다. filezilla.xml에는 각종 설정 정보와 연결한 탭들의 정보가 들어 있습니다. recentservers.xml에는 최근 접속한 FTP의 정보가 간단하게 들어있습니다.

파워쉘은 따로 사용자가 입력했던 명령어를 기록해 둔다. 경로는 %UserProfile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt 이다. 기록의 예외도 있다. cmd를 통해 실행한 명령어인 경우 기록이 되지 않는다.예를 들어보자 shell을 통해 cmd /c powershell ls란 명령어를 치면 기록이 되지 않는다.

디스코드는 %UserProfile%\AppData\Roaming\discord\Local Storage 안에 "https_discordapp.com_0.localstorage" 파일을 남긴다. 이 파일은 SQLite3파일이며 DB browser for SQLite를 통해 열어 볼 수 있다. "UserFeedSettingsStore", "RunningGameStore", "GameStoreReportedGames", "SelectedChannelStore", "EmojiUsageHistory", "DraftStore", "DispatchManagerStore", "shouldShowChangeLog", "lastChangeLog", "gatewayURL", "LibraryApplicationStore", ..

지난번 웨일 아티팩트를 분석해 보면서 로그인 데이터에 대해 이야기를 잠깐 해보았다. 이번에는 직접 파이썬으로 비밀번호를 복호화 해보려 한다. 아래는 구글 크롬 브라우저의 Login Data파일에서 password_value를 불러와 win32crypt.CryptUnProtectData를 통해 복호화를 진행 했다.결과는 대박이었다. 갑자기 내 모든 비밀번호가 한번에 튀어나와 깜짝 놀랐다.(학교에서 진행함....) 아래는 웨일 Login Data를 불러와서 복호화를 시도해 보았다. 코드는 똑같다.웨일에서는 암호화 할때 추가적으로 무슨 짓을 했는지 복호화가 진행 되지를 않는다.

웹 브라우저 아티팩트 네이버 웨일 브라우저 분석 환경 : Windows 10 Home x64웨일 버전 : 1.0.41.8 (64-bit)네이버 웨일이랑 구글 크롬이랑 AppData구조가 비슷하다.웨일 : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data크롬 : %UserProfile%\AppData\Local\Google\Chrome\User Data Defalut폴더 안에 구조도 상당히 비슷한데 크롬이 훨씬 복잡하다. 둘다 똑같이 sqlite3 데이터 베이스를 사용한다.+ 추가 참고 구글 크로미움 프로젝트 : https://www.chromium.org/ 접속 기록(History) : %UserProfile%\AppData\Local\Naver\Nave..