본문 바로가기

디지털포렌식 with CTF/메모리 포렌식 (Memory)

[메모리 포렌식] GrrCON 2015 #20

728x90
반응형

#19번까지 cmdscan 명령어로 어떻게 압축 파일을 생성하였는지를 알아보았습니다.

 

이번에는 어떤 파일이 압축되었는지를 살펴보아야 합니다.

 

conhost.exe 실팽파일은 윈도우에서 실행한 명령어, 입출력 결과 등의 정보를 보관하므로 이를 활용하여 보겠습니다.

 

먼저 cmdscan 플러그인으로 conhost.exe 프로세스의 PID를 확인하여 보겠습니다.

 

PID는 3048로 확인됩니다. memdump 플러그인을 통하여 파일을 복구해 보겠습니다.

 

그리고 strings 프로그램을 사용하여 txt 파일로 저장해 주겠습니다.

 

3048.txt를 열어보겠습니다.

 

3048.txt에서 .rar로 검색하여서 나오는 내용을 분석해보면, txt 파일 3개가 나옵니다.

 

이 3가지 파일들이 답이 됩니다.

728x90
반응형