ssoL2 TISTORY

[CTF-D/Memory] GrrCON 2015 #4 본문

challenge/forensic

[CTF-D/Memory] GrrCON 2015 #4

ssoL2 2021. 5. 20. 22:17

문제 : 프로세스 인젝션된 프로세스의 PID를 찾아라.

 

 

악성코드에 의해서 프로세스 인젝션이 된 상황이다.

 

프로세스 인젝션이란, 공격자가 신뢰할 수 없는 프로세스를 프로그램에 주입하도록 하는 공격이다.

수상한 프로세스가 없는지 확인하기 위해서 Volatility를 사용한다.

먼저 imgeinfo 플러그인으로 운영체제 Profile을 얻는다.

 

 

이후 프로세스를 확인하기 위해서 pstree 플러그인을 사용한다.

 

 

윈도우 시스템 프로세스를 제외하고, 수상한 점이 발견된다.

원래 iexplore.exe(internet explorer)와 같은 사용자 응용 프로그램은 explorer.exe 밑으로 실행되는 것으로 알고 있다.

그러나, 독자적인 iexplore.exe 프로세스가 발견된다.

 

또한, iexplore.exe의 자식 프로세스로 cmd.exe가 존재하는 것이 굉장히 수상했다.

cmd를 이용해서 iexplore.exe를 실행한 것으로 추정된다.

 

 

따라서 iexplore.exe의 PID인 '2996'을 입력하였더니 정답이다.

 

 

🚫 flag는 🚫

더보기

2996

'challenge > forensic' 카테고리의 다른 글

[CTF-D/Memory] GrrCON 2015 #6  (0) 2021.05.21
[CTF-D/Memory] GrrCON 2015 #5  (0) 2021.05.21
[CTF-D/Memory] GrrCON 2015 #3  (0) 2021.05.20
[CTF-D/Memory] GrrCON 2015 #2  (0) 2021.05.20
[CTF-D/Memory] GrrCON 2015 #1  (0) 2021.05.20
Comments