-
Memory - GrrCON 2015 #5$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:53
재부팅 이후에 지속성을 유지하는 레지스트리 키를 생각을 해보면 Microsoft\Windows\CurrentVersion\Run 레지스트리를 떠올릴수 있습니다.
재부팅 이후에 지속성을 유지하는 레지스트리 키 관련 정보는 아래의 포스팅에서 확인해 보실수 있습니다.
레지스트리 키 관련 블로그 : https://twoicefish-secu.tistory.com/59
그렇다면 volatility를 이용해서 아래의 명령어를 통해서 Microsoft\Windows\CurrentVersion\Run 레지스트리의 하위에 존재하는 키를 확인해보겠습니다.
하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 이전 문제에서 다뤘던 악성코드 관련 실행 파일인 AnyConnectInstall.exe 가 사용하는 MrRobot이라는 레지스트리 키입니다.
Flag : MrRobot
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #7 (0) 2020.01.03 Memory - GrrCON 2015 #6 (0) 2020.01.03 Memory - GrrCON 2015 #4 (0) 2019.12.20 Memory - GrrCON 2015 #3 (0) 2019.12.20 Memory - GrrCON 2015 #2 (0) 2019.12.20