-
[ctf-d] GrrCON 2015 #52022/Write-Ups 2022. 8. 9. 23:49
5팀 이은경
문제
풀이
재부팅 후에도 계속 실행되기 위한 레지스트리가 무엇인지 알아야 될 것 같다.
윈도우가 시작될 때마다 악성코드를 실행할 수 있는 방법이 있는데, (지속 메커니즘)
그 중 가장 일반적으로 쓰이는 방법은 RUN 레지스트리 키에 항목을 추가하는 것이다.
가장 일반적인 run 레지스트리 키 목록이다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run레지스트리 키를 확인할 수 있는 volatility 플로그인은 'printkey'이다.
▶ printkey
volatility_2.6_win64_standalone.exe -f "Target1-1dd8701f.vmss" --profile=Win7SP1x86 printkey -K "Microsoft\Windows\CurrentVersion\Run"
악성파일인 AnyConnectInstaller.exe가 보인다.
답은 MrRobot
정답
'2022 > Write-Ups' 카테고리의 다른 글
[ctf-d] 답을 찾고 제출해라! (0) 2022.08.09 [ctf-d] basics (0) 2022.08.09 [ctf-d] 계속 주시해라! (0) 2022.08.09 [ctf-d] 저는 이 파일이 내 친구와… (0) 2022.08.09 [crescendo] Event Log Problem 03 (0) 2022.08.09