Memory Forensic #5 GrrCON 2015 #5
문제 지문에서 재부팅 후에도 지속성을 유지한다는 내용을 보면 프로그램을 자동 실행해주는 Run이라는 레지스트리 Key를 생각해볼 수 있습니다.
따라서 volatility에서 레지스트리 키 값을 보여주는 printkey 플러그인과 지문에 대한 레지스트리 Key인 Microsoft\Windows\CurrentVersion\Run을 입력하여 확인하였습니다.
결과를 확인해보면 Run 키에 MrRobot라는 이름을 확인할 수 있습니다.
MrRobot이 AnyConnectInstaller.exe라는 악성코드 파일이 사용하는 레지스트리 Key인 것을 확인하여 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #7 (0) | 2020.02.09 |
|---|---|
| [Memory Forensic] GrrCON 2015 #6 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #4 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #3 (0) | 2020.02.09 |
| [Network Forensic] 때로는 정답이 바로 나타나지만... (0) | 2020.02.02 |