[0713] xcz PROB24

수요일 팀 박민진

 

제시되어있는 파일들을 다운받으니 압축파일이었다. 압축을 풀면 파일이 나온다.

 

어떻게 풀어야할지 잘 모르겠어서 구글링을 통해 찾아봤더니 메모리 덤프를 보기위해서는 Volatility라는 툴을 사용해야한다는 것을 알 수 있었다. 사용법도 몰라서 구글링을 통해 많이 찾아보아야했다.

 

우선 Volatility를 통해 덤프 파일의 이미지 정보를 알아보았다.

운영체제는 Windows XP라는 것을 알 수 있었다.

 

프로세스 정보를 얻을때는 psxview 옵션을 실행하여 찾아보았다.

nc.exe가 실행되어 있는것을 알 수 있었다.

 

프로세스 실행 시간을 알아내기 위해서는 psscan 옵션을 실행하여 덤프파일을 생성할 당시 감염된 윈도우 시스템에서 동작 중인 프로세스의 생성시간과 이미 종료된 프로세스의 종료 시간 정보를 획득할 수 있었다.

 

마지막으로 connections 명령어를 실행하여 네트워크 접속 관련 정보들을 알 수 있었다.

 

메모리덤프가 뜬 시간에 nc.exe가 실행되었고 Pid 1124에 의해 IP는 1.226.182.38로 포트는 59495로 접속중인 상태였다.

 

키 형식은 Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years이다.

 

위의 것들을 조합하면 

정답은 nc.exe_1124_80_Fri-Nov-02-09:06:48-2012 이다.

 

참고

https://underbarcham.tistory.com/103