Dominic Repo

11번 문제입니다! 11. Who was the last user to logon to the computer?(컴퓨터에 마지막으로 로그온 한 사용자는 누구입니까?) $ 마지막 로그온 한 사용자 $ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon [DefaultUserName] 예전에 기본도메인 할때 봐덨던 레지스트리 경로여서 바로 찾았다. 정답은 Mr. Evil

10번 문제 입니다! 10. What is the account name of the user who mostly uses the computer? 해석하면 : 10. 주로 컴퓨터를 사용하는 사용자의 계정 이름은 무엇입니까? 이건 https://asecurity.dev/2017/11/%EC%9C%88%EB%8F%84%EC%9A%B0-sam-%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC-%EC%82%AC%EC%9A%A9%EC%9E%90-%EA%B4%80%EB%A6%AC-net-user/ 이 블로그를 참고했다. HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 여기에 윈도우 계정들이 존재한다. 요 순으로 작성이 되어있는데 1..

아홉번째 문제이다! 9. How many accounts are recorded (total number)? 9. 몇 개의 계정이 기록됩니까 (총 수)? HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 여기에 윈도우 계정들이 존재한다. 계정은 총 5개! REGA 툴의 사용자 계정 정보도 확인해 본 결과 5개!!

여덟번째 문제입니다! 8. When was the last recorded computer shutdown date/time? 번역 : 8. 마지막으로 기록 된 컴퓨터 종료 날짜 / 시간은 언제입니까? 돌고도는 참고 URL - (참고 : http://blog.naver.com/PostView.nhn?blogId=gyurse&logNo=221241450040&categoryNo=20&parentCategoryNo=16&viewDate=&currentPage=1&postListTopCurrentPage=1&from=postView ) ( https://m.blog.naver.com/PostView.nhn?blogId=wwwkasa&logNo=80132905555&proxyReferer=https://www...

7번 문제입니다! 7. What is the primary domain name? 번역 : 7. 기본 도메인 이름은 무엇입니까? 도메인이라.. 일단 한번 탐색 시작! 둘러보던중 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon에 도착했다. 음..이건 전 문제에서 봤던 컴퓨터 이름이였는데 찾아보니 마지막 로그온 한 사용자 라고 한다. (참고 : http://blog.naver.com/PostView.nhn?blogId=gyurse&logNo=221241450040&categoryNo=20&parentCategoryNo=16&viewDate=&currentPage=1&postListTopCurrentPage=1&from=postView) ( https:..

여섯번째 문제입니다! 6. What is the computer account name? 번역 : 6. 컴퓨터 계정 이름은 무엇입니까? 계정이면.. 우선 시스템 정보를 담고있는 레지스트리를 까보도록한다. 전에 문제 풀었던 좋은 블로그를 참조하여 (https://m.blog.naver.com/bitnang/70180095500) 컴퓨터 이름을 확인하는 레지스트리를 확인해 볼 수 있었다. HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName ComputerName 를 확인 하면 시스템 속성에 있는 컴퓨터 이름을 확인 할 수 있다고 한다. REGA를 이용하여 한번 확인해 보도록하자. 흠 이건 컴퓨터 이름인데 컴퓨터 계정 이름과 같은지는 모르겠다...

5. Who is the registered owner? 번역 : 5. 등록 된 소유자는 누구입니까? 경로(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion)에서 아래와 같이 확인해 볼 수 있는데 ProductName : 운영체제 이름 Owner : 사용자 이름 Organization : 조직 이름 ProductId : 운영체제 식별자 BuildLab(Ex) : 운영체제 세부 버전 InstallDate : 운영체제 설치 날짜(유닉스 시간 형식) SystemRoot : 운영체제 설치 루트 폴더 기본적인 정보는 위와 같은 경로에 들어있는것같다. 항상 주의하고 알아보면 될것같다.

4. What is the timezone settings? 번역 : 4. 시간대 설정은 무엇입니까? 출처 : https://books.google.co.kr/books?id=LaCKDwAAQBAJ&pg=PA192&lpg=PA192&dq=%ED%8F%AC%EB%A0%8C%EC%8B%9D+%EC%8B%9C%EA%B0%84%EB%8C%80+%EC%84%A4%EC%A0%95&source=bl&ots=q5dzDzZc87&sig=ACfU3U0eNw9FbppHHgySMAWPtWB70Li1SA&hl=ko&sa=X&ved=2ahUKEwiuzMC_pqLjAhXKZt4KHf_vCWsQ6AEwBnoECAgQAQ#v=onepage&q=%ED%8F%AC%EB%A0%8C%EC%8B%9D%20%EC%8B%9C%EA%B0%84%EB..

3. When was the install date? 번역 : 3. 설치 날짜는 언제입니까? 문제2와 동일한 경로(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion)에서 아래와 같이 확인해 볼 수 있는데 ProductName : 운영체제 이름 Owner : 사용자 이름 Organization : 조직 이름 ProductId : 운영체제 식별자 BuildLab(Ex) : 운영체제 세부 버전 InstallDate : 운영체제 설치 날짜(유닉스 시간 형식) SystemRoot : 운영체제 설치 루트 폴더 이렇게 유닉스 시간 형식으로 나와있다. 구글에서 UNIX시간 > 일반시간 변환기를 이용해 확인한 결과 1971-04-23( Friday, April 23rd 1971, ..

wolfman // love eyuna 소스파일을 확인해 어떻게 구성되어있는지 확인해준다.여기서 프로세스안 스택에서 젤 주소가 높은위치에 환경변수들이 있는데 거기를 가리키는게 environ (환경변수에 대한 포인터) egghunter 로 인해 NULL 값이 나올 때 까지 환경변수에 0을 덮어 씌우니 환경변수는 쓸수없고 그리고 2번째 인자값의 48번째에는 \xbf 가 나와야 프로그램이 종류가 안되고buffer hunter 또한 있다.여기까진 전문제와 동일하다. 추가로 //check the length of argument 로 2번째 인자의 크기또한 막혔다. 가용한 부분 esp-=44를 해주었다. i는 우리가 사용할 버퍼가 아니니 40을 기억.| 여기 | ret | sfp | buffer |1번째 인자가 r..