본문 바로가기

4-7. 2021-2 심화 스터디/악성코드 포렌식

(6)
[2021.11.20] CTF-D Memory Forensic 문제 풀이 (GrrCON 2015 #4,5,6) GrrCON 2015 #4 가장 먼저 PID를 찾아보았다. pstree(는 실행중인 프로세스를 트리 형태로 보여줌) ./volatility -f Target1-1dd8701f.vmss --profile=Win7SP1x86 pstree PID: 운영체제에서 프로세스를 식별하기 위해 프로세스에 부여하는 번호 PPID: 부모 프로세스의 PID. 여기서 이상한 점은 iexplorer.exe인데 현재 pstree에서 독립적으로 실행되고 있다는 것임. 원래 아래와 같이 explorer.exe 하위에 있어야 함. PID를 알고 싶다고 했으므로 정답은 2996 GrrCON 2015 #5 재부팅을 해도 지속성을 위해 멀웨어가 사용하고 있는 레지스트리 KEY의 이름을 알고 싶음. 보통 재부팅 공격을 할 때 다음과 같은 위..
[2021.11.13] CTF-D Memory Forensic 문제 풀이 (GrrCON 2015 #1,2,3) GrrCON 2015 #1 ./volatility -f Target1-1dd8701f.vmss imageinfo 먼저 imageinfo를 이용해 프로파일 정보를 출력해준다. Win7SP1x86 -> Win7 사용중인것을 확인함. 다음으로, 실행중인 프로세스 목록을 확인했다. ./volatility -f Target1-1dd8701f.vmss --profile=Win7SP1x86 pslist 문제에서 이상한 이메일 정보에 대해 알고 싶어 했기 때문에 OUTLOOK.EXE를 의심해보는게 좋다고 생각했다. 0x85cd3d40 OUTLOOK.EXE 혹시 몰라서 종료된 프로세스도 있는지 확인해봤다. ./volatility -f Target1-1dd8701f.vmss --profile=Win7SP1x86 pssca..
[2021.09.25] 악성코드 분석 및 악성코드 활용 보호되어 있는 글입니다.
[2021.09.18] Volatility 보호되어 있는 글입니다.
[2021.09.11] 보안 메커니즘, EPROCESS, MBR, 시스템 프로세스, MFT 이론 및 실습 보호되어 있는 글입니다.
[2021.09.04] 메모리포렌식 개요/운영체제 보호되어 있는 글입니다.