728x90
반응형
공격자가 옮긴 도구를 찾는 문제입니다.
먼저 멀웨어가 담긴 프로세스인 iexplore.exe 프로세스를 memdump 플러그인으로 덤프하고, strings 프로그램으로 txt 파일로 저장해줍니다. (앞 문제 참고)
frontdesk로 검색하다 보면 위와 같이 임시 폴더인 Temp 폴더에 담긴 파일들이 나옵니다.
.exe 형식이고, g로 시작하지 않으므로 nbtscan.exe, Rar.exe, wce.exe 3개의 실행파일을 얻을 수 있습니다.
728x90
반응형
'디지털포렌식 with CTF > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #12 (0) | 2020.11.03 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #11 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #9 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #8 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #7 (0) | 2020.11.02 |
