본문 바로가기
디지털포렌식 with CTF/Memory Forensic

[메모리 포렌식] GrrCON 2016 #2

S0NG 2020. 11. 4. 17:22
728x90
반응형

#2번 문제는 #1번 문제에서 발견한 악성 코드의 User Agent 문자열을 발견하는 문제입니다.

 

악성 코드가 SkypeC2AutoApd 인 것을 발견했으니, volatility의 pslist 플러그인으로 pid를 찾아줍니다.

 

pid가 1364인 것을 확인하였으니, memdump 플러그인으로 덤프해 주겠습니다.

 

strings 프로그램으로 읽기 쉽게 txt 파일로 변환하였고, 이 파일을 텍스트 에디터로 열어서 분석하겠습니다.

 

파일에서 agent로 검색하면 useragent를 찾을 수 있습니다.

728x90
반응형
저작자표시

'디지털포렌식 with CTF > Memory Forensic' 카테고리의 다른 글

[메모리 포렌식] GrrCON 2016 #1  (0) 2020.11.04
[메모리 포렌식] GrrCON 2015 #25  (0) 2020.11.04
[메모리 포렌식] GrrCON 2015 #24  (0) 2020.11.04
[메모리 포렌식] GrrCON 2015 #23  (0) 2020.11.04
[메모리 포렌식] GrrCON 2015 #22  (0) 2020.11.04

'디지털포렌식 with CTF/Memory Forensic' Related Articles

티스토리툴바