본문 바로가기

디지털포렌식 with CTF/메모리 포렌식 (Memory)

[메모리 포렌식] GrrCON 2016 #1

728x90
반응형

GrrCON 2016의 #1번 문제입니다. #1번과 #2번은 win7ecorpoffice~ 파일을 사용한다고 합니다.

 

먼저 volatility의 imageinfo 플러그인을 통하여 메모리의 정보를 살펴 보겠습니다.

 

문제에서 컴퓨터에서 혼란을 일으킨 것(악성코드)가 무엇인지, 그리고 IP 주소와 관련된다고 하니 netscan 플러그인을 통하여 살펴보겠습니다.

 

문제에서 악성코드 C2라고 언급하였기 때문에 SkypeC2AutoApd 프로세스가 악성코드임을 알 수 있습니다.

 

SkypeC2AutoApd 프로세스에 3개의 IP가 할당된 것을 확인할 수 있습니다.

 

문제에서 CEO의 IP가 10.1.1.112라고 하였으니 외부 IP인 54.174.131.235가 정답이 되겠습니다.

728x90
반응형