Memory Forensic #16 (GrrCON 2015 #16)
문제를 보면 공격자가 원격 접속 방식을 사용한 것을 확인할 수 있습니다.
원격 접속 방식을 사용했다는 것은 네트워크 통신이 이뤄졌다는 것이므로 volatility를 실행하여 netscan 플러그인을 사용하여 네트워크 통신 상태를 확인하였습니다.
실행 결과를 확인해보면 네트워크 통신 상태를 확인할 수 있으며, mstsc.exe라는 프로세스를 확인할 수 있습니다.
mstsc.exe : 윈도우 운영체제에서 사용하는 원격 데스크톱 제어 프로그램
따라서 mstsc.exe 프로세스에 대한 IP 주소를 문제 포맷대로 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #18 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #17 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #15 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #14 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #13 (0) | 2020.02.24 |