GrrCON 2015 #6
-
Memory - GrrCON 2015 #6$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:53
악성코드가 C&C 서버에 재인증으로 사용하는 비밀번호를 찾는 문제입니다. 먼저 C&C 서버가 어떤 역할을 하는지에 대해 먼저 알아볼 필요가 있습니다. 이전 문제들 에서 해당 악성코드 파일에 적용되어진 상황과 C&C 서버를 사용한다는 점을 고려해 봤을때 해당 악성코드는 아래와 같이 동작할것 입니다. 각각의 개인 PC를 좀비PC로 감염시키는 역할을 프로세스 인젝션 된 프로세스인 iexplore.exe이고, 감염된 좀비PC로 부터 정보를 수집하는 역할을 C&C 서버가 한다는 것을 알수 있습니다. 그렇기 때문에 iexplore.exe 의 memdump 떠서 dmp파일에서 비밀번호를 찾아 보겠습니다. 그리고 strings 명령어로 txt파일을 추출 해보겠습니다. 컴퓨터가 재부팅되고, 바로 레지스트리키가 실행이 된..