디지털포렌식 with CTF (91) 썸네일형 리스트형 [메모리 포렌식] GrrCON 2015 #1 문제 파일로 vmss 파일 하나가 주어집니다. vmss 파일은 가상 머신에서 일시 중지 상태 (suspend 상태)일 때의 OS 상태를 저장한 파일 확장자라고 합니다. 파일을 다운받은 뒤에, volatility 도구의 imageinfo 플러그인을 사용해서 메모리 정보를 확인하여 보겠습니다. Windows 7을 사용한 메모리라는 점을 확인할 수 있습니다. pslist 플러그인을 사용하여 현재 작동중인 프로세스를 확인하여 보았습니다. 직원들이 메일을 클릭하였다고 했으므로 OUTLOOK.EXE 프로세스가 가장 먼저 눈에 들어옵니다. 프로세스의 메모리를 dump해주는 memdump 플러그인으로 OUTLOOK.EXE 프로세스를 분석해 보겠습니다. 현재 디렉토리 (./)에 3196.dmp 파일로 저장되었습니다. 이.. 이전 1 ··· 7 8 9 10 다음
