[Crescendo] Memory Problem 01

파일을 다운받아 압축을 풀면 .raw 파일이 보인다.

사용한 Tool은 volatility windows 버전인 vol.exe를 사용하였다.

vol.exe -f WINDOWS-PC-20161011-135027.raw imageinfo

vol.exe -f WINDOWS-PC-20161011-135027.raw --profile=Win7SP1x64 pstree

(부모 프로세스와 자식프로세스 관계를 간편하게 볼려고 pstree 명령어를 사용 하였다.)

Pid(프로세스 ID) PPid(부모 프로세스 ID) Thds(Number of Threads) Hnds(Number of Handles) Time(process 시작 시간)

윈도우 기본 프로세스

explorer.exe

- 작업 표시줄, 바탕화면 등으로 표시되는 사용자쉘

윈도의 대부분의 명령 처리를 관리

internat.exe

- 사용자의 키보드 입력 로케일을 로드 하는 프로세스

taskmgr.exe

- 작업 관리자

csrss.exe

- 윈도우 콘솔을 관장하고 스레드 생성 / 삭제

Win32 하위 시스템의 사용자 모드 부분 (MS-DOS 모드 지원)

항상 실행되어야 하는 필수적인 하위 시스템 

winlogon.exe

- 사용자 로그온/로그오프를 담당하는 프로세스

lsass.exe

- 로컬 보안 인증 서버인 Lsass.exe는 Winlogon.exe 의 요청에 의해 인증과 관련된 부분을 처리하는 프로세스

mstask.exe

- 예약 작업을 처리하는 스케쥴러

smss.exe

- 시스템 스레드에서 시작되며 winlogon 이나 csrss 프로세스의 시작과 시스템 변수 설정을 비롯한 다양한 작업을 수행

이러한 프로세스를 시작한 후 winlogon 이나 csrss가 끝나길 기다리며 이런 프로세스들이 정상적으로 이루어지면

시스템이 종료가 되지면 예기치 않은 동작이 일어나면 smss.exe는 시스템이 응답을 중지함

svchost.exe

- DLL에서 실행되는 다른 프로세스의 호스트 역할을 하는 일반 프로세스이므로 이 프로세스 항목은 둘이상 표시될 수 있음

등등...

.raw 파일의 프로세스를 봤을 때 sms.exe.exe가 확장자에 확장자가 붙혀진 이름을 가져서 이상해보였고

그 밑에 하위 프로세스인 sms.exe를 골랐다.

(문제를 보게되면 부모프로세스의 부모프로세스를 물어보았기 때문에 상위에 부모프로세스가 두개있는걸 선택했다.) 

Answer : sms.exe_explorer.exe