Memory - GrrCON 2015 #21

공격자가 예약된 작업을 만들어서 스케줄링 작업과 연결된 파일의 이름을 찾는 것 같습니다.

아마도 운영체제가 윈도우 메모리 파일이기 때문에 bat 파일로 만들었을 가능성이 크다.

 

filescan을 통해서 .bat을 검색해 보겠습니다.

 

Users 하위의 gideon 폴더 안에 1.bat 파일이 있습니다.

해당 파일을 추출해 보겠습니다.

 

해당 파일을 분석 해 보겠습니다.

 

cmd를 이용해서 w.tmp 파일을 만든 배치 프로그램이 맞습니다.

 

Flag : 1.bat

 

출처 : 디지털 포렌식 with CTF