Memory Forensic #4 GrrCON 2015 #4
vmss 하나의 문제 파일로 계속해서 이어 풀어나가는 문제입니다.
공격자의 악성코드가 프로세스 인젝션으로 사용되는 것을 확인하였습니다.
프로세스 인젝션 : 프로세스를 파일에 추가한 다음, 해당 프로그램이 실행이 되면, 인젝션 된 프로세스에 대한 프로그램도 같이 실행 되는 것입니다.
프로세스에 대한 정보를 보기 위하여 pstree 플러그인을 이용하여 프로세스 정보를 확인하였습니다.
pstree 플러그인으로 프로세스 정보를 확인하던 도중, 이상한 점을 발견하였습니다.
추가 정보에서 보시면 원래 iexplore.exe 프로세스는 위에 있는 explorer.exe에 대한 하위 프로세스로 출력되어야 정상입니다.
하지만, iexplore.exe 프로세스는 따로 독립적으로 실행되는 것으로 확인됩니다.
따라서 iexplore.exe 프로세스는 일반적 실행이 아닌, 강제적으로 실행된다고 생각하였습니다.
iexplore.exe 프로세스가 이상하다고 생각하여 PID 입력 결과, 문제를 해결할 수 있었습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #6 (0) | 2020.02.09 |
|---|---|
| [Memory Forensic] GrrCON 2015 #5 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #3 (0) | 2020.02.09 |
| [Network Forensic] 때로는 정답이 바로 나타나지만... (0) | 2020.02.02 |
| [Network Forensic] 당신이 플래그를 찾을 수 있을까? (0) | 2020.02.02 |