728x90
반응형
인젝션된 프로세스의 PID를 찾아야 합니다.
volatility의 pstree 플러그인으로 프로세스 목록을 살펴보겠습니다.
위와 같이 나옵니다. 책에서는 Volutility 플러그인을 사용하여서 풀었는데, 설치 과정이 복잡하여 다른 방법을 찾아보았습니다.
iexplore.exe 프로세스는 실행 시 explorer.exe 프로세스의 하위에 위치하여야 하는데, 위의 pstree에서는 독립적으로 실행되고 있습니다.
그러므로 고의적으로 악성코드에 인젝션된 프로세스임을 알 수 있습니다.
iexplore.exe의 pid는 2996입니다.
728x90
반응형
'디지털포렌식 with CTF > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #6 (0) | 2020.11.02 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #5 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #3 (0) | 2020.10.30 |
| [메모리 포렌식] GrrCON 2015 #2 (0) | 2020.10.30 |
| [메모리 포렌식] GrrCON 2015 #1 (0) | 2020.10.30 |
