Memory - GrrCON 2015 #24

 

POS에서 화이트 리스트로 정의된 악성코드를 물어보는 문제 입니다.

일단 악성코드 덤프떠둔것을 이용해서 문자열을 탐색해 보겠습니다.

 

에디터로 열어서 확인을 해보면 아래와 같습니다.

 

악성코드는 .exe 확장자를 가지고 있을 가능성이 크기 때문에 검색을 해보았는데 맨위의 실행파일을 제외하고 나머지는 프로세스에서 본 실행 파일들입니다.

 

화이트리스트로 정의된 악성코드는 allsafe_protector.exe 입니다.

 

Flag : allsafe_protector.exe

 

출처 : 디지털 포렌식 with CTF