Volatilityを用いたメモリフォレンジック検証第二弾。　前回はWindows10（Build19042）を用いたメモリ解析を実施したが、解析上、以下の問題があった。 ・特定の宛先への通信を行うプログラムを実行した…続き

ランサムウェアに感染したことを想定したCTF問題を考える。 ■問題　ランサムウェアに感染し、重要なファイル「secret.dat」が暗号化されてしまった。復号するには正しいパスワードを入力する必要がある。ランサムウェアプ…続き

■問題の背景　あるA社において、社内からインターネットへの接続がときどき出来なくなる、という申告があった。担当者がインターネットとのゲートウェイであるUTMのログを確認すると以下のことが分かった。 　・申告のあった時間に…続き

　マルウェアの中には正常なプロセスに任意のCodeを注入して感染活動を行うものがある。このようなマルウェアに感染した場合、コードを注入されたプロセスの実行中のみ活動を行うため、静的なフォレンジックなどで該当のプロセスを分…続き

CTF用のメモリーフォレンジック問題を考える。メモリーフォレンジックが必要になるシーンとしては以下がある。 １．組織のUTMが内部から外部へのマルウェアからの通信を検知する。　例）ブラックリストとして登録されたC＆Cサー…続き

　今回はパック化された実行ファイルの解析問題を作成する。　マルウェアはパックファイル形式で配布されることがある。パックファイルとは実行コードを圧縮したものである。パックファイルを実行すると、解凍プログラムにより圧縮された…続き

　CTF用のBinary問題として「デバッグ環境を検知するプログラム」を作成する。マルウェアによってはこのようにデバック環境を検知した場合にプログラムの挙動を変えるものがあるため、そのようなマルウェアをどのように解析する…続き

Linux上でのBinaryプログラム解析方法を記す。 ＜問題１＞ 　　以下のファイルの種類を答えよ（拡張子が正解とする） 　　※googlelogoという拡張子がないファイル ＜答え１＞ 　　fileコマンドを用いて対…続き

■CTF用のBinary問題を考える。　問題の構成　・実行すると入力を促すプロンプトが現れる。　・正しい入力の場合はFlagが表示される。　・正しくない場合はNot Correctと表示されて終了。 ■Flagを得る方法…続き

CTF用にSQLインジェクション問題を作成。 ♦問題1　下記のURLにブラウザでアクセスしSQLインジェクションを用いて認証を突破せよ。インジェクションに成功するとFlagが表示される。 http://127.0.0.1…続き