WarGAME/suninatas (2) 썸네일형 리스트형 Suninatas 30번 메모리파일의 정보 확인 - imageinfo volatility를 이용해 분석할 것인데, 이를 위해서는 메모리 덤프파일 PC(김장군 PC)의 운영체제 정보를 알아봐야한다. imageinfo 플러그인을 사용하여 MemoryDump(SuNiNaTaS)의 정보를 확인해주자. 메모리 덤프파일의 윈도우 버전 : Win7SP1x86 메모리 덤프파일이 생성된 시각 : 2016년 5월 24일 9시 47분 40초 1. 김장군 PC의 IP 주소 - netscan 기본적인 사용방법대로 실행하면 에러가 난다. 운영체제 정보와 함께 검색해준다 연결과 소켓 관련 기록이 쭉 떴는데, 이 중 Local Address 부분에 김장군 PC의 IP 주소가 명시되어 있을 것이다. 로컬호스트 IP를 가리키는 127.0.0.1과 모든 IP를 .. Suninatas 21번 주요 파일들의 헤더/푸터 시그니처 파일을 헥사코드로 확인해 볼 때, 기본적으로 파일 형식에 맞는 시그니처(매직넘버)를 갖고 있다. 따라서 이를 통해 파일의 조작을 파악하고, 손상된 파일을 복구하거나 숨겨진 내용을 파악하는 것이 가능하다. 대체적인 파일들은 코드 초반부에 위치하는 헤더시그니처를 기본으로 갖고 있으며, 몇몇파일은 코드 마지막 부분에도 정해진 푸터 시그니처가 존재한다. (헥사코드로 확인 가능하고 이를 ASCII코드로 표기한 것으로도 구별이 가능하다) [헤더 시그니처만 존재하는 파일] DOC [헤더 : 31 BE 00 00 00 AB] BMP [헤더 : 42 4D] ISO [헤더 : 43 44 30 30 31] IMG [헤더 : 50 49 43 54 00 08] [헤더 시그니처, 푸터시그니처 모.. 이전 1 다음
