728x90
반응형
재부팅 후에도 지속성을 유지하기 위하여 사용하는 레지스트리를 찾는 문제입니다.
재부팅 후에도 지속성을 유지하는 레지스트리 키는 Microsoft\Windows\CurrentVersion\Run 레지스트리입니다.
Volatility의 printkey 플러그인을 통하여 Microsoft\Windows\CurrentVersion\Run 레지스트리 하위에 존재하는 레지스트리 Key가 나옵니다.
VMware User Process, MrRobot 2개의 레지스트리 키가 나오는데, 멀웨어가 사용하는 key는 MrRobot입니다.
728x90
반응형
'디지털포렌식 with CTF > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #7 (0) | 2020.11.02 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #6 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #4 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #3 (0) | 2020.10.30 |
| [메모리 포렌식] GrrCON 2015 #2 (0) | 2020.10.30 |
