728x90
반응형
#22번 문제부터는 POS 파일로 진행됩니다.
먼저 imageinfo 플러그인을 사용하여서 메모리 정보를 확인해 보겠습니다.
Windows 7 운영체제를 사용하는 메모리라는 것을 확인할 수 있습니다.
문제에서 멀웨어의 C&C 서버를 물어보았으니, volatility의 malfind 플러그인을 통하여 멀웨어를 찾아보겠습니다.
iexplore.exe 프로세스가 검출되었습니다. netscan 플러그인으로 네트워크 통신 상태를 확인해 보겠습니다.
iexplore.exe의 IP 정보를 확인할 수 있습니다.
728x90
반응형
'디지털포렌식 with CTF > Memory Forensic' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #24 (0) | 2020.11.04 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #23 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #21 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #20 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #19 (0) | 2020.11.04 |
