WARGAME 문제 풀이

GrrCON 2015 #4

몰라몰라개복치 2021. 5. 5. 18:34

#1~#3과 이어지는 문제다.

악성코드에 인젝션된 프로세스의 PID를 알아보자.

 

 

 

 

 

volatility를 이용해 pstree로 프로세스 목록을 출력해보자. 이전 과정들은 아래 링크들 참고

 

 

 

 

 

 

 

 

 

process explorer을 통해 프로세스들을 본 결과

 

vol.py를 통해 프로세스를 출력한 결과

 

 

내 로컬 컴퓨터에선 iexplorer.exe가 트리 구조이나 vol.py를 통해 살펴봤을 땐 독립적으로 실행 중이다. 즉 악성코드가 인젝션되어 강제적으로 실행된 것이라고 판단

 

 

 

PID는 2996이다

 

 

 

 

 

 

 

 

 

 

참고: hec-ker.tistory.com/204

 

ctf-d GrrCON 2015 #4

이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #3 ctf-d GrrCON 2015 #3 이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문..

hec-ker.tistory.com