728x90
반응형
책에서 위 지문과 같은 내용은 멀웨어의 뮤텍스를 생각해볼 수 있다고 합니다.
뮤텍스는 스레드들 간에서 공유가 배제되는 객체라고 합니다.
volatility의 handles 플러그인을 통하여 뮤텍스 정보를 확인해 볼 수 있습니다.
-t 옵션은 오직 특정한 타입의 handles만 표시해준다고 합니다.
그러므로 -t 옵션을 사용하여 Mutant 옵션만 표시하도록 해주었습니다.
Mutant 타입의 handles들을 확인해보니 멀웨어가 fsociety0.dat라는 파일명을 사용하는 걸 확인할 수 있습니다.
728x90
반응형
'디지털포렌식 with CTF > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #9 (0) | 2020.11.02 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #8 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #6 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #5 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #4 (0) | 2020.11.02 |
