#About
[그림 1] - 문제 파일 확인
Find Suspect Process, and key
#Solution
문제로부터 512MB의 메모리 덤프 파일을 제공 받았으며 분석을 위해 먼저, 시스템의 운영체제 정보를 확인해보았다
[그림 2] - 운영체제 정보 확인
제공 된 서비스팩 종류로는 Win7SP0x86, Win7SP1x86으로 확인되었고, 이를 인자로 넘겨주어 프로세스 목록을 살펴보았다
[그림 3] - 프로세스 목록 확인
확인 결과, 윈도우 기본 프로세스 이외에 원격 접속 프로그램인 nc.exe를 확인할 수 있었으며 이를 토대로 연결된 네트워크 정보를 확인해보았다
[그림 4] - 네트워크 연결정보 확인
현재 192.168.163.216의 로컬 호스트에서 C&C 서버로 의심되는 88.190.230.12의 원격지로 네트워크 연결이 확립되어 있음을 확인할 수 있었다
[그림 5] - 프로세스 추출
메모리로부터 의심되는 프로세스이자 PID 1720을 가지는 nc.exe를 추출했으며, strings를 통해 값을 살펴보았더니 아래와 같이 키를 확인할 수 있었다
[그림 6] - 키 값 확인
'Wargame' 카테고리의 다른 글
| [MEMORY] 2012 Nuit Du hack > Password Manager 2 (0) | 2017.12.28 |
|---|---|
| [MEMORY] 2012 Nuit Du Hack > Password Manager 1 (0) | 2017.12.28 |
| [MEMORY] 2011 Nuit Du Hack > Forensics 100 (0) | 2017.12.28 |
| [FEDORA CORE 3] Evil_wizard > Dark_stone (0) | 2017.12.27 |
| [FEDORA CORE 3] Hell_fire > Evil_wizard (0) | 2017.12.23 |