[xcz.kr #24] Memoryyyyy Dumpppppp - 200 points

xcz.kr의 24번째 문제는 Memoryyyyy Dumpppppp다. 포렌식 문제고, 문제는 아래와 같다. 

메모리 포렌식 문제다. 첨부된 파일의 압축을 풀면 xczprob2 파일이 있다. 이 파일을 volatility로 분석하자.

운영체제 정보 확인

imageinfo 플러그인을 이용해서 덤프파일의 이미지 정보를 확인하자. (WinXPSP2x86)

psxview 플러그인으로 숨겨진 프로세스 찾기

psxview 플러그인을 사용해 숨겨진 프로세스가 있는지 확인했다. pslist에서는 확인이 불가능하지만, psscan에서 확인이 되는 nc.exe가 숨겨져서 실행이 되었음을 알 수 있었다.

(psxview 플러그인을 통해 숨겨진 프로세스를 찾을 수 있는 이유는 이 사이트에서 참고했습니다.)

psscan 플러그인으로 다시 확인

마찬가지로 nc.exe가 실행된 것을 확인할 수 있다. Key의 형식은 "Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years"이므로, Port number를 제외한 나머지 정보는 알아냈다.

connscan 플러그인을 이용해 네트워크 연결 정보 확인

해당 운영체제는 Windows XP이므로 네트워크 연결 정보를 확인하기 위해 connscan 플러그인을 사용해 확인했다. PID가 1124인 nc.exe가 80번 포트로 나간 것을 확인할 수 있다. 

 

따라서 키 값을 형식에 맞게 구하면 "nc.exe_1124_80_Fri-Nov-02-09:06:48-2012"가 된다.