Memory Forensic #25 (GrrCON 2015 #25)
악성코드가 처음에 설치되었다는 지문을 통하여 악성코드가 유입되는 것을 생각해보면 가장 일반적인 것을 예로 들면 인터넷에서의 다운로드다.
인터넷 사용 기록 확인을 위해 volatility를 실행하여 iehistory 플러그인을 사용하여 확인하였다.
실행 결과를 확인해보면 C&C 서버로부터 어떤 파일을 다운로드하였는지 확인 가능하다.
그리고 iehistory 출력 내용에서 allsafe_update.exe라는 파일 이전에 악성코드와 관련 있는 파일이 존재하지 않기 때문에 해당 파일이 악성코드가 처음에 설치된 파일이라는 것을 확인할 수 있다.
따라서 해당 파일 이름을 플래그로 입력하게 되면 문제를 해결할 수 있다.
# Reference
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Disk Forensic] 판교 테크노밸리 K기업에서 #1, #2 (0) | 2020.03.02 |
|---|---|
| [Disk Forensic] 이벤트 예약 웹사이트를 운영하고 #A, #B, #C (0) | 2020.03.02 |
| [Memory Forensic] GrrCON 2015 #24 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #23 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #22 (0) | 2020.02.24 |