728x90
반응형
GrrCON #2에서 공격자가 AnyConnectInstaller.exe를 다운로드하도록 하였으므로, filescan 플러그인과 findstr 플러그인을 사용하여 AnyConnectInstaller.exe 문자열이 들어가 있는 파일들을 찾아줍니다.
그럼 위에서부터 AnyConnectInstaller.exe가 있는 경로들을 보여줍니다.
그럼 dumpfiles 플러그인을 통하여 해당하는 파일을 덤프해줍니다.
-Q 옵션은 파일이 저장된 주소를 통하여 파일을 선택하겠다는 의미입니다.
위에서부터 덤프를 하며 VirusTotal 웹사이트에서 감염되었는지 확인해봅니다.
3df1cf00 주소에 저장된 프로그램이 바이러스에 감염된 것을 확인할 수 있습니다.
58개의 서비스에서 바이러스를 탐지하였습니다.
위와 같이 XTRAT 바이러스에 감염되었다고 나옵니다. XTRAT는 XtremeRAT 바이러스를 의미합니다.
이렇게 프로그램이 어떤 바이러스에 감염되었는지 구하였습니다.
728x90
반응형
'디지털포렌식 with CTF > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #6 (0) | 2020.11.02 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #5 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #4 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #2 (0) | 2020.10.30 |
| [메모리 포렌식] GrrCON 2015 #1 (0) | 2020.10.30 |
