某社のCTFに参加してそこで学んだことを軽くまとめておく
先日参加した某社のCTFにおいて、Forensics的に今後有用だと思ったことをまとめておく。
- Windows minidumpにはWindbg
- Windowsの認証情報を取り出すのが得意な「mimikatz」にはWindbgのために使えるライブラリがある
- 時にWRRでレジストリを眺めるだけじゃダメな時がある
Windows minidumpにはWindbg
実際に使ったことは無かったのでいい経験をした。
使用ごとにシンボルを忘れない。
Windowsにはlsaas.exeという重要プロセスがある
認証情報を持っているプロセス。
Windowsの認証情報を取り出すのが得意な「mimikatz」にはWindbgのために使えるライブラリがある
mimikatzは対windowsの認証情報ぶっこ抜きで様々なmetasploitに組み込まれているけれど、それがWindbgでも使えるとのこと。
mimikatzのDLは、ウイルスとして検知されるし、Windows Defenderにも止められるからwindowsの良く使用する環境ではやらん方がいい。というかそもそも、mimikatazをDLするURLがブロックされたりする。
時にWRRでレジストリを眺めるだけじゃダメな時がある
プログラムの起動回数等が簡単に分かったregripperが良かった
まだまだ、Forensicの基礎知識、基礎装備がなっていないことが分かった。
装備については少し整理する必要がある。
