728x90
반응형
이 문제를 접근할 때는 '처음 설치된 파일이 인터넷을 통하여 다운로드 되었을 것이다'라는 추측이 필요합니다.
그럼 인터넷 사용 기록을 살펴보기 위하여 iehistory 옵션을 사용하고 exe 파일을 다운받은 기록을 살펴보겠습니다.
allsafe_update.exe 파일을 다운로드 받은 내역이 존재합니다.
이같은 방법으로 답을 구할 수 있습니다.
728x90
반응형
'디지털포렌식 with CTF > Memory Forensic' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2016 #2 (1) | 2020.11.04 |
|---|---|
| [메모리 포렌식] GrrCON 2016 #1 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #24 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #23 (0) | 2020.11.04 |
| [메모리 포렌식] GrrCON 2015 #22 (0) | 2020.11.04 |
