2020. 10. 2. 17:44ㆍCTF/XCZ.KR
하단의 문제 파일을 다운받는다.
xczprob2파일 압축을 풀고 volatility 폴더로 이동했다.
imageinfo 플러그인으로 운영체제 정보를 확인할 수 있다.
# vol.py -f xczprob2 imageinfo - 운영체제 정보 확인
pslist 플러그인으로 프로세스 리스트를 출력하고 눈에 띄는 프로세스들을 정리했다.
uphclean.exe – 사용자 프로필 하이브 정리 서비스
UnlockerAssista – 파일 또는 폴더의 락을 해제하는 unlocker 응용프로그램
nc.exe – netcat(nc)은 TCP 나 UDP 프로토콜을 사용하는 네트워크 연결에서 데이터를 읽고 쓰는 유틸리티 프로그램이다. 리눅스에 내장되어 있고 포트 스캔, 파일 전송 및 포트 수신이 가능
conime.exe – 악성코드가 삽입된 웹사이트 이용시 윈도우의 취약점을 이용하여 설치되고,
해킹 목적으로 구성된 스파이웨어
# vol.py -f xczprob2 –profile=WinXPSP2x86 pslist - 프로세스 리스트 출력
nc.exe와 conime.exe 프로세스가 의심되어 관계를 정리해봤을 때, nc.exe 프로세스를 통해 conime.exe 프로그램이 심어져서 작업 파일들이 삭제됐다고 생각한다.
그래서 nc.exe를 통해 conime.exe프로그램이 심어졌고, 이 프로그램의 실행을 통해 작업 프로그램이 종료되고 작업 파일이 삭제된 과정을 마치고 연결이 종료됐을 것이라고 생각해서 connscan 플러그인으로 확인했다.
PID가 1124인 nc.exe프로세스가 연결을 종료한 것으로 보아 추측이 맞는 것 같다.
# vol.py -f xczprob2 –profile= WinXPSP2x86 connscan – 연결이 종료된 또는 현재 실행 중인 tcp 세션을 출력(윈도우XP)
Process Name – nc.exe / PID – 1124 / Port – 80
Process Execute Time - Fri-Nov-02-09:06:48-2012
# vol.py -f xczprob2 –profile= WinXPSP2x86 sockets - 네트워크 정보 확인(윈도우XP)
키 형식 : (Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years)
최종 키는 ”nc.exe_1124_80_Fri-Nov-02-09:06:48-2012”