[CTF-D/Memory] GrrCON 2015 #5

문제 : 재부팅 후에도 지속성을 유지하기 위해 멀웨어가 사용하는 레지스트시 키를 찾아라.

 

 

volatility로 imageinfo 플러그인을 사용해서 운영체제 정보를 얻는다.

 

 

재부팅 후에도 자동으로 실행되기 위해서는 "Software\Microsoft\Windows\CurrentVersion\Run"에 등록된다.

HKLM\SOTEWARE\Microsoft\Windows\CurrentVersion\Run
- Run 키에 등록된 파일은 Window OS가 시작할 때 자동으로 실행됩니다.
출처 : https://securityfactory.tistory.com/131

 

 

따라서 레지스트리의 키의 서브키와 값을 출력하는 printkey 플러그인을 사용해서 해당 위치에 등록된 파일을 출력하자.

 

 

그러면, GrrCON 2015 #2 문제에서 발견한 악성코드 파일이 발견하고,

이 레지스트리 Run 키에 'MrRobot'이라는 이름을 지닌 값을 확인할 수 있다.

끝!

 

 

🚫 flag는 🚫

MrRobot