Memory Forensic #7 GrrCON 2015 #7
지문 내용을 보면 악성코드는 종종 고유한 값이나 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되록 하며, 악성코드가 사용하는 고유 이름을 찾는 문제입니다.
여기서 중요한 것은, 고유 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Mutex라고 합니다.
뮤텍스 (Mutex) : 스레드들 간에서 공유가 배제되는 객체
따라서 악성코드에 대한 뮤텍스 정보를 확인하는 문제입니다.
volatility 도구의 handles 플러그인을 사용하고, 타입을 Mutant로 지정한 다음, iexplore 프로세스에 대한 뮤텍스 정보를 확인하였습니다.
결과를 확인해보면 오프셋 값이 85d11700으로 된 dat 파일이 악성코드가 사용하는 파일명으로 확인할 수 있습니다.
따라서 dat 파일의 이름을 플래그로 입력해주면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #9 (0) | 2020.02.09 |
|---|---|
| [Memory Forensic] GrrCON 2015 #8 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #6 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #5 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #4 (0) | 2020.02.09 |