파일을 다운받아 압축을 풀면 .raw 파일이 보인다.
사용한 Tool은 volatility windows 버전인 vol.exe를 사용하였다.
vol.exe -f WINDOWS-PC-20161011-145327.raw imageinfo
vol.exe -f WINDOWS-PC-20161011-145327.raw --profile=Win7SP1x64 netscan
(netscan - 활성화 상태의 Network 연결정보를 보여준다. Window Vista, 7, 2008 server에서만 사용가능)
Owner가 이상한걸 발견했다.
(State를 보게되면 SYN_SENT인데 local에서 연결을 요청한 상태다. 의도치 않게 이런 상태가
일어난거면 의심을 해볼만한 상황인거 같다.)
LISTEN: 요청을 받을 수 있도록 연결을 기다리는 상태
SYN_SENT: local에서 연결 요청을 시도한 상태
SYN_RECV: 연결 요청을 받은 상태
ESTABLISHED: 연결이 된 상태
FIN_WAIT1: 소켓 종료를 위해 FIN 패킷을 보낸 상태
FIN_WAIT2: FIN 패킷을 보내고 FIN_ACK를 받은 상태
CLOSE_WAIT: 원격이 종료 요청을 받고 연결이 종료되기를 기다리는 상태.
TIME_WAIT: 종료 준비가 끝났으나 원격의 수신 보장을 위해 기다리는 상태.
LAST_WAIT: 연결은 종료되었고 ACK를 기다리는 상태.
CLOSED: 완전히 연결이 종료된 상태.
Answer : 210.220.131.43_34251
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] Network Problem 01 (0) | 2017.06.14 |
|---|---|
| [Crescendo] Memory Problem 03 (0) | 2017.06.13 |
| [Crescendo] Memory Problem 01 (0) | 2017.06.13 |
| [Crescendo] Shim Cache Problem 01 (0) | 2017.06.12 |
| [Crescendo] LNK Problem 05 (0) | 2017.06.12 |
