Differences

This shows you the differences between two versions of the page.

--- volatility3 [2025/04/27 21:53] – ppale
+++ volatility3 [2025/12/01 11:40] (current) – external edit 127.0.0.1
@@ Line 36: / Line 36: @@
 Damir sumnja da je njegov poslužitelj bio inficiran. Damir je napravio presliku memorije svog poslužitelja.
 Možeš li otkriti IP adresu i port servera s kojim je malware komunicirao?
-Flag je kombinacija IP adrese i porta s kojom malware komunicira. bez točaka. Primjerice ako malware komunicira s IP adresom 192.168.5.1 na portu 1111 flag bi bio CTF2023[192168511111]
+Flag je kombinacija IP adrese i porta s kojom malware komunicira. bez točaka. Primjerice ako malware komunicira
+s IP adresom 192.168.5.1 na portu 1111 flag bi bio CTF2023[192168511111]
 https://cumulus.carnet.hr/index.php/s/8Es9xjTSrXPQTQd
 </file>
@@ Line 54: / Line 55: @@
 {{volatility3:slika1.png}}
-Na slici je prikazan MsMpEng.exe, jedan od sumnjivih procesa pronađen pokretanjem naredbe, među kojima su i drugi procesi kao što je  SearchApp.exe, smartscreen.exe, OneDrive.exe i powershell.exe. Među prikazanim procesima mogu biti prisutni i „false positivi“, procesi koji zapravo nisu maliciozni, ali su označeni kao sumnjivi. Zato je bitno u postupku danje analize sumnjivih procesa, odrediti redoslijed najprioritetnijih i najvjerojatnijih procesa, koji će se prvi podvrgnuti postupku daljnje analize. Od spomenutih procesa, powershell je među prvim procesima na koji treba obratiti pažnju, jer je poznato da malware često koristi powershell za ostvarivanje raznih ciljeva, što je opisano u dokumentu „Malware tehnike“.
+Na slici je prikazan MsMpEng.exe, jedan od sumnjivih procesa pronađen pokretanjem naredbe, među kojima su i drugi procesi kao što je  SearchApp.exe, smartscreen.exe, OneDrive.exe i powershell.exe. Među prikazanim procesima mogu biti prisutni i „false positivi“, procesi koji zapravo nisu maliciozni, ali su označeni kao sumnjivi. Zato je bitno u postupku daljnje analize sumnjivih procesa, odrediti redoslijed najvjerojatnijih procesa, koji prve treba analizirati. Od spomenutih procesa, powershell je među prvim procesima na koji treba obratiti pažnju, jer je poznato da malware često koristi powershell za ostvarivanje raznih ciljeva, što je opisano u članku [[malware_tehnike|Malware tehnike]].
-Powershell proces prikazan u rezultatima izvršene naredbe ima PID (Process ID) 6800, što je prikazano na slici 2., te se sada može vršiti daljnja analiza nad powershell procesom s PID vrijednošću 6800.
+Powershell proces prikazan u rezultatima izvršene naredbe ima PID (Process ID) 6800, što je prikazano na slici 2., te se sada može dalje analizirati proces "powershell" s PID vrijednošću 6800.
 {{volatility3:slika2.png}}
-Slijedeći modul koji je vrlo koristan za analizu je modul „cmdline“ koji prikazuje naredbe izvršene u ljuskama. Kako bi se pronašle naredbe koje je izvršavao powershell proces s PID vrijednošću 6800, može se pokrenuti naredba
+Slijedeći modul koji je vrlo koristan za analizu je modul „cmdline“ koji prikazuje naredbe izvršene u ljuskama. Kako bi se pronašle naredbe koje je izvršavao proces 6800, može se pokrenuti naredba:
 <file>
@@ Line 69: / Line 70: @@
 {{volatility3:slika3.png}}
-Pokretanjem ove naredbe pronađena je izvršena naredba sumnjivog procesa, koja se treba dalje analizirati. Može se uočiti da je payload pokrenute naredbe u formatu Base64, koji se treba dekodirati u format „UTF-16LE“, format koji powershell koristi.
+Pronađena je izvršena naredba sumnjivog procesa, koju treba dalje analizirati. Može se uočiti da je payload pokrenute naredbe u formatu Base64, koji se treba dekodirati u format „UTF-16LE“, format koji koristi powershell.
-To se može napraviti korištenjem CyberChefa ili bash naredbama
+To se može napraviti korištenjem CyberChefa ili bash naredbama:
 <file>
@@ Line 76: / Line 77: @@
 </file>
-Nakon čega se dekodirani payload može pročitati naredbom
+Nakon čega se dekodirani payload može pročitati naredbom:
 <file>
@@ Line 98: / Line 99: @@
 </file>
-Te nakon čitanja čitanja dekodiranog payloada iz datoteke decoded2.txt naredbom
+te nakon čitanja čitanja dekodiranog payloada iz datoteke decoded2.txt naredbom:
 <file>
@@ Line 104: / Line 105: @@
 </file>
-Bit će prikazana IP adresa i port koji malware koristi, što je prikazano na slici 5.
+bit će prikazana IP adresa i port koji malware koristi, što je prikazano na slici 5.
 {{volatility3:slika5.png}}
-===PRIMJER -Zadatak s Hacknite platforme –  Kriminalni sistemac 2===
+===PRIMJER - Zadatak s Hacknite platforme –  Kriminalni sistemac 2===
 <file>
-Uhvaćen je i drugi sistem administrator kriminalnog marketa. Istraživači su napravili forenzičku sliku memorije njegovog računala. Kao i u prošli put, postoji keepass file koji žele otključati. Možeš li im pomoći?
+Uhvaćen je i drugi sistem administrator kriminalnog marketa. Istraživači su napravili forenzičku sliku
+memorije njegovog računala. Kao i u prošli put, postoji keepass file koji žele otključati. Možeš li im pomoći?
 https://cumulus.carnet.hr/index.php/s/6dXmt4gaA5SP5xT
 Napomena: zabranjeno je napadati cumulus.carnet.hr
@@ Line 120: / Line 122: @@
 Preuzimanjem i raspakiravanjem datoteke, dobivaju se datoteke „sistemac2.dmp“ i „sistemac2.kdbx“.
-Kdbx je ekstenzija datoteke „KeePass“ programa za pohranu lozinki. Lozinke pohranjene u .kdbx datoteci su obično enkriptirane i za dekripciju je potreban glavni ključ .kdbx datoteke.
+Kdbx je ekstenzija datoteke „KeePass“, programa za pohranu lozinki. Lozinke pohranjene u .kdbx datoteci su obično enkriptirane i za dekripciju je potreban glavni ključ .kdbx datoteke.
 Ovo se može provjeriti učitavanjem sistemac2.kdbx datoteke u online keepass preglednik, kao na primjer KeeWeb na linku:
@@ Line 134: / Line 136: @@
 Ovo će biti smjernica pri analizi sistemac2.dmp slike memorije.
-Nakon pozicioniranja u direktorij gdje se nalazi i slika memorije, pokretanjem naredbe
+Nakon pozicioniranja u direktorij gdje se nalazi i slika memorije, pokretanjem naredbe:
 <file>
@@ Line 140: / Line 142: @@
 </file>
-Može se vidjeti da je operacijski sustav slike Windows i osnovne informacije o operacijskom sustavu (Slika 7).
+može se vidjeti da je operacijski sustav slike Windows i osnovne informacije o operacijskom sustavu (Slika 7).
 {{volatility3:slika7.png}}
-Da je ova naredba vratila prazan ispis ili poruke greške, sljedeći korak bi bio pokrenuti ekvivalentnu naredbu za slike memorije Linux operacijskih sustav, kako bi se utvrdilo koristi li se Linux i osnovne informacije o operacijskom sustavu.
+Da je ova naredba vratila prazan ispis ili poruke greške, sljedeći korak bi bio pokrenuti ekvivalentnu naredbu za slike memorije Linux operacijskih sustava, kako bi se utvrdilo koristi li se Linux i osnovne informacije o operacijskom sustavu.
-Sljedeća naredba koja se može pokrenuti je
+Sljedeća naredba koja se može pokrenuti je:
 <file>
@@ Line 152: / Line 154: @@
 </file>
-Kako bi se prikazala lista aktivnih procesa u trenutku stvaranje slike memorije.
+Kako bi se prikazala lista aktivnih procesa u trenutku stvaranja slike memorije.
 Ova naredba prikazuje da je jedan od aktivnih procesa bio KeePass.exe s pridruženim identifikatorom procesa (eng. PID – Process Identifier) 6012 (Slika 8.)
@@ Line 165: / Line 167: @@
 </file>
-Može se preuzeti pokretanjem naredbe
+Može se preuzeti pokretanjem naredbe:
 <file>
@@ Line 171: / Line 173: @@
 </file>
-Unutar istog direktorija kao što je i slika memorije, kako bi se olakšala upotreba dodatka.
+unutar istog direktorija kao što je i slika memorije, kako bi se olakšala upotreba dodatka.
 Nakon što su dodatci preuzeti, zadržavanjem iste pozicije, stablo poddirektorija bi trebalo izgledati ovako (naredba tree ./):