[THM][Note] Windows Internals
https://tryhackme.com/room/windowsinternals
Task2
Open the provided file: “Logfile.PML” in Procmon and answer the questions below.
- ProcessMonitorのホルダを開いて、Procmonを起動
- 読み込みが兎に角重いが、辛抱しよう。
- FileからOpenを選択して、Logfileを開く。
What is the process ID of “notepad.exe”?
考え方)
- 大量のプロセスが存在するので、filterを使用する。
- notepad.exeに絞り込んで調査する。
What is the parent process ID of the previous process?
What is the integrity level of the process?
Task3
What is the thread ID of the first thread created by notepad.exe?
- 表示をプロセスとスレッドのみにする。
- Operationが、Thread Createを探す。
What is the stack argument of the previous thread?
- 上記と同じスレッドの、Event Propertiesを開き、Thread項目の中に記されている。
Task4
What is the total theoretical maximum virtual address space of a 32-bit x86 system?
- 説明文をよく読む
What default setting flag can be used to reallocate user process address space?
- 説明文の中にも改定あるが、以下のドキュメントも参考になる。
https://learn.microsoft.com/ja-jp/windows/win32/memory/4-gigabyte-tuning
What is the base address of “notepad.exe”?
- Operationが、Load Imageとなっている行を注意深く見る。
- Load Imageはメモリ上にこのプロセスが使うイメージを読み込んで展開しているので、一番最初のLoad ImageのImage Baseの値を探す。
Task5
What is the base address of “ntdll.dll” loaded from “notepad.exe”?
- リストをよく見て、OperationがLoad Imageで、 Pathに「ntdll.dll」が含まれている行を探す。
- DetailにImage Baseという名前で、メモリアドレスが書いてある。
What is the size of “ntdll.dll” loaded from “notepad.exe”?
- 上記の行をダブルクリックして、プロパティを見る。
- Image Sizeの記述がある。
How many DLLs were loaded by “notepad.exe”?
- フィルターを追加
- 簡易フィルターも、スレッドとプロセスだけにする。
Task6
What PE component prints the message “This program cannot be run in DOS mode”?
文章内をよく読む
Open “notepad.exe” in Detect It Easy and answer the questions below.
- ブラウズから以下のパスの「notepad.exe」を指定。
What is the entry point reported by DiE?
- アプリ画面内をよく見る
What is the value of “NumberOfSections“?
- アプリ画面をよく見る
What is the virtual address of “.data“?
- .dataは、PEのセクション内にあるので探す。
- メモリの先頭のアドレスを探す。
What string is located at the offset “0001f99c”?
- Hexで開く
- 出題のメモリアドレスを探す。
Task7
Enter the flag obtained from the executable below.
- コマンドラインから指定のexeを実行する。
