PC からメモリイメージを取得する手順についてメモします。 ツールの準備 メモリイメージを取得するツールは色々あるようですが今回は FTK Imager を使用します。 通常はメモリイメージを取得したい PC にツールがインストールされている事はないので USB メ…

Registry の HIVE の保存場所をメモします。 Registry File Path HKEY_LOCAL_MACHINE \ SAM C:\Windows\system32\config\sam HKEY_LOCAL_MACHINE \ SECURITY C:\Windows\system32\config\security HKEY_LOCAL_MACHINE \ SOFTWARE C:\Windows\system32\config…

USB メモリ関連の確認方法について調べたことをメモします。 Windows10 で確認した結果をまとめる方針ですが確認しないで HP の情報をそのまま記載するかもしれません。 ツール等 ツール名 用途 Registry Explorer HIVE ファイル（Registry の実体）の調査 R…

OSINTで使えそうなツールや情報をメモします。 ツール 参考記事 ツール ツール名 説明 ffmpeg 動画や画像を編集する CUI ツール（Windows・Linux）形式を変換したり、動画に画像処理を施したり、動画から画像を作成したりできる。参考：ffmpeg コマンドライ…

WaniCTF'21 で pcap から icmp のデータを抽出して jpeg を作成する問題の writeup で紹介されている Python スクリプトについてメモします。 以下のスクリプトで pcap から ICMP のデータ部を取り出すことができます。 #!/usr/bin/env python3.8 import sca…

Python に関する情報をメモします。 モジュール等 モジュール等名 説明 APNG animation png を扱うためのモジュール。複数の jpeg から apng を作成したり apng を複数ファイルに分割したりできる。Ubuntu へのインストール：pip install apng Impacket ネッ…

Forensicで使えそうなツールや情報をメモします。 ツール 参考記事 ツール ツール名 説明 7zip ファイルを圧縮・展開する GUI ツール（Windows）ディスクイメージやステガノグラフィなどの中にファイルが含まれるようなファイルを閲覧できる可能性がある。 A…

setodanoteCTF の問題、レジストリハイブファイルから NTLM ハッシュを取得しパスワードを解析する方法についてメモします。 １．NTLM ハッシュを取得する NTLM ハッシュを取得する方法をいくつか説明します。 レジストリハイブの SAM、SYSTEM ファイルから …

event logのメモ イベントＩＤ 4624 の見方。4625 も同じと思われる。 ・ログオンタイプ ２：対話型 ３：ネットワーク ４：バッチ ５：サービス ７：ロック解除 １０：リモートデスクトップ １１：キャッシュでログオン（ドメイン認証していない） ・新しい…

OverTheWire: Bandit Hacker101 CTF SUNCTF2020 外部公開 - Google ドライブ CyberSoc | Cyber Detective CTF picoCTF - CMU Cybersecurity Competition [RE] Zombieland CTF – Reverse Engineering for Beginners – [McB]Defence GitHub - kusano/ctfpwn_ch…

セキュリティ初心者の自分が後で読もうかなと思っているページのリンクの備忘録だが初心者向けではないページも含まれているような気がする。さらに勉強記事でないものが含まれている気がする。 マルウェア解析 GitHub - hasherezade/malware_training_vol1:…

SSTV（Slow-scan television）は、主にアマチュア無線事業者によって使用される画像伝送方法。television となっているが実際は静止画を数十秒から数分かけて送信する。CTF でもちょいちょい使用されているらしいのでメモ。SSTV で検索すれば音声データから…

Auto Hotkey とは 常駐化することでホットキー割り当てなどが行える windows 用のフリーソフト。wiki に詳しい説明があるが WaniCTF'21 で取り上げられたテキスト（スクリプト？）の読み方をメモしておく。 ::the::Send, +wanireturn ::password::Send, +c+t…

フラグレジスタは16ビットの一つのレジスタで構成されそれぞれ1ビットずつに意味のあるフラグが存在しています全てのフラグは1ビットで表現され、0か1かでその状態を表します OF オーバーフロー 符号付演算で桁あふれが発生 OV(1) NV(0)DF ディレクション ス…

■XCHG命令（Exchange） 第1オペランド（ディスティネーション）で指定されたデータ（レジスタ、又は、メモリ）と、第2オペランド（ソース）で指定されたデータ（レジスタ、又は、メモリ）を交換する 構文 xchg [destination] [source] 例文 xchg ax, bx ■LEA…

gdbをファイルを指定して起動 $ gdb ./a.out main関数の表示 (gdb) disas main ブレイクポイントの設定（break） (gdb) b *0x0804845e ブレイクポイントの表示（info breakpoints） (gdb) i b ブレイクポイントの削除 (gdb) d 1 プログラムの実行（run） (gd…