#1~#3과 이어지는 문제다.
악성코드에 인젝션된 프로세스의 PID를 알아보자.
volatility를 이용해 pstree로 프로세스 목록을 출력해보자. 이전 과정들은 아래 링크들 참고
process explorer을 통해 프로세스들을 본 결과
vol.py를 통해 프로세스를 출력한 결과
내 로컬 컴퓨터에선 iexplorer.exe가 트리 구조이나 vol.py를 통해 살펴봤을 땐 독립적으로 실행 중이다. 즉 악성코드가 인젝션되어 강제적으로 실행된 것이라고 판단
PID는 2996이다
ctf-d GrrCON 2015 #4
이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #3 ctf-d GrrCON 2015 #3 이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문..
hec-ker.tistory.com
'WARGAME 문제 풀이' 카테고리의 다른 글
| GrrCON 2015 #3 (0) | 2021.04.30 |
|---|---|
| GrrCON 2015 #2 (0) | 2021.04.30 |
| ctf-d 우리는 이 파일에 플래그를... (0) | 2021.04.30 |
| ctf-d 사진 속에서 빨간색이.. (0) | 2021.04.30 |
| GrrCON 2015 #1 (0) | 2021.04.01 |
