4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

某社のCTFに参加してそこで学んだことを軽くまとめておく

先日参加した某社のCTFにおいて、Forensics的に今後有用だと思ったことをまとめておく。

Windows minidumpにはWindbg

実際に使ったことは無かったのでいい経験をした。

docs.microsoft.com

使用ごとにシンボルを忘れない。

Windowsにはlsaas.exeという重要プロセスがある

www.windowsfiles.jp

認証情報を持っているプロセス。

 

Windowsの認証情報を取り出すのが得意な「mimikatz」にはWindbgのために使えるライブラリがある

github.com

mimikatzは対windowsの認証情報ぶっこ抜きで様々なmetasploitに組み込まれているけれど、それがWindbgでも使えるとのこと。

mimikatzのDLは、ウイルスとして検知されるし、Windows Defenderにも止められるからwindowsの良く使用する環境ではやらん方がいい。というかそもそも、mimikatazをDLするURLがブロックされたりする。

 

時にWRRでレジストリを眺めるだけじゃダメな時がある

プログラムの起動回数等が簡単に分かったregripperが良かった

github.com

 

 

まだまだ、Forensicの基礎知識、基礎装備がなっていないことが分かった。

装備については少し整理する必要がある。