파일을 다운받아 압축을 풀면 .raw 파일이 보인다.
사용한 Tool은 volatility windows 버전인 vol.exe를 사용하였다.
vol.exe -f WINDOWS-PC-20160313-081828.raw imageinfo
vol.exe -f WINDOWS-PC-20160313-081828.raw --profile=Win7SP1x86 pstree
svchost.exe가 단독으로 돌고있다.
(svchost.exe - DLL에서 실행되는 다른 프로세스의 호스트 역할을 하는 일반 프로세스이므로 이 프로세스 항목은 둘이상
표시될 수 있음)
svchost.exe가 service.exe 하위에서 실행되지 않고 explorer 밑에서 실행이 되고 있거나
엉뚱한 프로세스 밑에서 작동을 한다면 바이러스일 가능성이 99%고, 그리고 단독으로 실행이 되다면
svchost이름을 가진 악성코드일 가능성도 99%다.
svchost.exe는 services.exe의 하위 프로세스로 돌고 있다.
프로세스에 열려있는 파일을 빼는 명령어
vol.exe procexedump -p 3876 -f WINDOWS-PC-20160313-081828.raw --profile=Win7SP1x86 -D D:\
파일을 빼게 되면 파일명이 executable.[PID].exe
Answer : 819883BC936337F525BC6D520562E5D785F1C64E
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] Network Problem 02 (0) | 2017.06.14 |
|---|---|
| [Crescendo] Network Problem 01 (0) | 2017.06.14 |
| [Crescendo] Memory Problem 02 (0) | 2017.06.13 |
| [Crescendo] Memory Problem 01 (0) | 2017.06.13 |
| [Crescendo] Shim Cache Problem 01 (0) | 2017.06.12 |
