728x90
반응형
공격자가 암호화하여 압축했다고 하였으니, 어떤 명령어를 사용했는지 cmdscan 플러그인을 사용해보겠습니다.
공격자가 사용한 명령어들이 나옵니다. rar 명령어를 사용하여 압축을 진행했나 봅니다.
그러므로 0xf24d0에 저장된 rar 명령어를 사용한 문장에서 답을 구할 수 있습니다.
728x90
반응형
'디지털포렌식 with CTF > Memory Forensic' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #20 (0) | 2020.11.04 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #19 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #17 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #16 (0) | 2020.11.03 |
| [메모리 포렌식] GrrCON 2015 #15 (0) | 2020.11.03 |
