Memory Forensic #23 (GrrCON 2015 #23)

 

메모리 포렌식 23번 문제

 

이전 문제에서 iexplore.exe가 멀웨어라는 것을 확인하였다.

 

이 멀웨어의 일반적인 이름을 확인하기 위해 malfind 플러그인으로 멀웨어를 추출한다.

 

[그림 1] malfind 플러그인 사용 -> 멀웨어 추출

 

추출이 완료되면 복구된 파일을 Virus Total 사이트를 통하여 검사한다.

 

Virus Total 사이트 : https://www.virustotal.com/gui/home/upload

 

VirusTotal

 

www.virustotal.com

 

[그림 2] Virus Total 검사 완료

 

검사 결과를 확인해보면 많은 백신 프로그램들이 해당 프로세스를 멀웨어로 탐지한다.

 

많은 이름 중에서 Avast 프로그램의 Dexter라는 명칭이 일반적인 이름으로 확인된다.

 

Dexter : 2012년 12월 전 세계의 POS 시스템을 감염시킨 컴퓨터 바이러스

 

해당 이름을 플래그로 입력하면 문제를 해결할 수 있다.

# Reference

 

http://www.yes24.com/Product/Goods/59156934

저작자표시

'Digital Forensics > CTF-D' 카테고리의 다른 글

[Memory Forensic] GrrCON 2015 #25  (0) 2020.02.24
[Memory Forensic] GrrCON 2015 #24  (0) 2020.02.24
[Memory Forensic] GrrCON 2015 #22  (0) 2020.02.24
[Memory Forensic] GrrCON 2015 #21  (0) 2020.02.24
[Memory Forensic] GrrCON 2015 #20  (0) 2020.02.24

+ Recent posts

티스토리툴바