| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- blkls
- 윈도우 프로세스 종류
- 24시간의 전사
- 생활코딩 html
- Multimeida
- ZIP 파일구조
- 디지털포렌식 with CTF
- disk
- 네트워크관리사2급
- vinetto
- ftz
- N0Named
- 실기
- 생활코딩
- CTF-D
- 슬퍼유
- 윈도우 프로세스
- 2022시작
- Window process
- 는 하지마...
- memory
- html
- slack space
- 포렌식
- Multimedia
- pythonchallenge
- 네트워크 보안
- network
- 디지털포렌식
- 정보처리기사 필기 합격
Archives
- Today
- Total
ssoL2 TISTORY
[CTF-D/Memory] GrrCON 2015 #5 본문
문제 : 재부팅 후에도 지속성을 유지하기 위해 멀웨어가 사용하는 레지스트시 키를 찾아라.
volatility로 imageinfo 플러그인을 사용해서 운영체제 정보를 얻는다.
재부팅 후에도 자동으로 실행되기 위해서는 "Software\Microsoft\Windows\CurrentVersion\Run"에 등록된다.
HKLM\SOTEWARE\Microsoft\Windows\CurrentVersion\Run
- Run 키에 등록된 파일은 Window OS가 시작할 때 자동으로 실행됩니다.
출처 : https://securityfactory.tistory.com/131
따라서 레지스트리의 키의 서브키와 값을 출력하는 printkey 플러그인을 사용해서 해당 위치에 등록된 파일을 출력하자.
그러면, GrrCON 2015 #2 문제에서 발견한 악성코드 파일이 발견하고,
이 레지스트리 Run 키에 'MrRobot'이라는 이름을 지닌 값을 확인할 수 있다.
끝!
🚫 flag는 🚫
더보기
MrRobot
'challenge > forensic' 카테고리의 다른 글
| [CTF-D/Disk] 이벤트 예약 웹사이트를 운영하고… #B (0) | 2021.05.21 |
|---|---|
| [CTF-D/Memory] GrrCON 2015 #6 (0) | 2021.05.21 |
| [CTF-D/Memory] GrrCON 2015 #4 (0) | 2021.05.20 |
| [CTF-D/Memory] GrrCON 2015 #3 (0) | 2021.05.20 |
| [CTF-D/Memory] GrrCON 2015 #2 (0) | 2021.05.20 |
'challenge/forensic' Related Articles
more
Comments