-
Memory - GrrCON 2015 #10$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:33
PC를 손상 시키기 위해 일부 도구를 옮겼다고 하면서 해당 도구의 이름을 알파벳순으로 나열하고, g로 시작하는 실행파일은 제외 시키는 문제입니다.
이번 문제에서도 악성코드를 이용한 C&C 공격과 연관이 있어 보이기 때문에 iexplore.exe 의 dump를 string으로 추출해서 .exe 가 붙은 문자열을 찾아 보겠습니다.
txt 파일에서 .exe 파일을 찾으면 아래와 같이 수상한 파일들이 존재 합니다.
g로 시작하는 getlsasrvaddr.exe 를 제외하고 Rar.exe , wce.exe, nbtscan.exe 가 답이지만 알파벳 순으로 나열해야 합니다.
Flag : nbtscan.exe, Rar.exe, wce.exe
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #12 (0) 2020.01.03 Memory - GrrCON 2015 #11 (0) 2020.01.03 Memory - GrrCON 2015 #9 (0) 2020.01.03 Memory - GrrCON 2015 #8 (0) 2020.01.03 Memory - GrrCON 2015 #7 (0) 2020.01.03