[xcz.kr #24] Memoryyyyy Dumpppppp - 200 points
xcz.kr의 24번째 문제는 Memoryyyyy Dumpppppp다. 포렌식 문제고, 문제는 아래와 같다. 메모리 포렌식 문제다. 첨부된 파일의 압축을 풀면 xczprob2 파일이 있다. 이 파일을 volatility로 분석하자. imageinfo 플러그인을 이용해서 덤프파일의 이미지 정보를 확인하자. (WinXPSP2x86) psxview 플러그인을 사용해 숨겨진 프로세스가 있는지 확인했다. pslist에서는 확인이 불가능하지만, psscan에서 확인이 되는 nc.exe가 숨겨져서 실행이 되었음을 알 수 있었다. (psxview 플러그인을 통해 숨겨진 프로세스를 찾을 수 있는 이유는 이 사이트에서 참고했습니다.) 마찬가지로 nc.exe가 실행된 것을 확인할 수 있다. Key의 형식은 "Process ..
Forensics/xcz.kr
2022. 1. 6. 18:07
