-
Memory - GrrCON 2015 #4$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:49
문제를 해결하기 위해서는 프로세스 인젝션(Process Injection) 이 무엇인지에 대해서 공부를 해봐야 합니다.
Memory Forensic 문제 풀이 글이기 때문에 Process Injection에 대해서는 상세히 다루지 않겠습니다.
Process Injection이란?
다양한 Injection 공격 중에서 Process 를 파일에 추가하여 해당 프로그램이 실행이 됬을때,
인젝션된 프로세스 프로그램까지 같이 실행이 되는 것을 의미합니다.
자세한 내용은 아래의 사이트에서 확인해 보실수 있습니다.
Process Injection : https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process
어떤 프로세스가 삽입이 되어있는지 알기 위해서는 여러가지 방법이 있는데 제가 접근한 방식을 전부 설명해 보려고 합니다.
1. 저번에 다운로드한 악성 프로그램(.img) 파일을 가지고 직접 실행을 통해서 process injection 된 프로세스 찾기
2. 문제 첨부 파일인 .vmss 파일을 가지고 pstree 를 통해서 process injection 된 프로세스 찾기
1번 풀이부터 해보면 일단 먼저 img 파일을 win7 운영체제에 넣습니다.
그리고 HxD로 해당 파일을 열어보면 아래와 같이 출력을 해줍니다.
.exe 파일인것은 확실 하고 해당 프로그램을 실행하기 전에 프로세스를 미리 확인해 보겠습니다.
프로세스는 Process Explorer 로 확인 했습니다.
위와 같이 프로세스가 있습니다.
cmd 를 이용해서 해당 프로그램을 실행한뒤 프로세스의 변화를 확인해 보겠습니다.
iexplorer.exe 입니다.
해당 PID 값은 아래와 같습니다.
iexplore.exe PID : 2996
2번 풀이는 아래와 같습니다.
pstree 플러그인을 이용해서 문제를 확인해 보면 아래와 같이 iexplore.exe 를 확인할 수 있는데 이게 왜 이상한지 아래의 사진을 확인해 보면 아실 수 있을 것 같습니다.
이상한 점을 느끼셨습니까??
iexplore.exe인 브라우저를 실행을 해보면 explorer.exe 하위에 프로세스가 실행되게 됩니다만 위에서의 iexplore.exe는 explorer.exe의 하위가 아닌 독립적으로 실행을 하고 있는것을 확인할 수 있습니다.
그렇다는것은 explorer.exe 에서 iexplore.exe를 실행한것이 아닌 외부, 즉, 프로그램으로 인해 강제적으로 실행 된것을 의미합니다.
그래서 process injection된 프로세스는 iexplore.exe 이며, PID 값은 2996 입니다.
Flag : 2996
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #6 (0) 2020.01.03 Memory - GrrCON 2015 #5 (0) 2020.01.03 Memory - GrrCON 2015 #3 (0) 2019.12.20 Memory - GrrCON 2015 #2 (0) 2019.12.20 Memory - GrrCON 2015 #1 (0) 2019.12.20