728x90
반응형
공격자가 다른 PC에 예약된 작업을 만들었다고 합니다. 이는 공격자가 job 파일을 만들었을 가능성이 높습니다.
volatility의 filescan 플러그인으로 job 파일이 존재하는지 확인해 보겠습니다.
job 파일은 구글 업데이트와 관한 job 파일 1개와, At1이라는 job 파일 1개 총 2개가 존재합니다.
At1.job 파일의 오프셋을 구하였으니 strings 프로그램을 통하여 분석해 보겠습니다.
strings 프로그램으로 분석하여 보니 C:\users\gideon 폴더에 1.bat 이라는 파일이 존재합니다.
이와 같이 답을 구할 수 있습니다.
728x90
반응형
'디지털포렌식 with CTF > Memory Forensic' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #23 (0) | 2020.11.04 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #22 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #20 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #19 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #18 (0) | 2020.11.04 |
