프로세스 인젝션 == Process Hollowing (프로세스 교체 및 실행)
: 악성코드가 대상 프로세스의 메모리에서 합법적인 코드를 매핑 해제(비우기)하고 대상 프로세스(예 : svchost.exe)의 메모리 공간을 악성 실행 파일로 덮어쓸 때 발생
의심스러운 프로세스를 찾아보자
pstree 명령어를 통해 트리 구조로 살펴본다.
부모 프로세스 없이 단독으로 돌아가는 프로세스들을 중점으로 분석하는 것이 좋다
악성코드는 정상적인 프로세스(winlongon.exe, services.exe, svchost.exe, explorer.exe, etc)에 몰래 들어가 악의적인 행동을 한다. 그 중 explorer.exe의 하위 프로세스에는 iexplore.exe가 존재한다.
그런데 pstree로 볼 수 있는 구조에는 iexplore가 단독으로 실행되고 있다.
원래는 위의 사진처럼 explorer.exe 하위 프로세스로 iexplore.exe가 동작해야한다.
그래서 IEXPLORE.EXE의 PID를 FLAG로 넣어보면 성공이다.
KEY : 2996
어떻게 문제를 만들었을까?]
vmss – 게스트 운영체제를 일시 중지(Suspend) 상태로 변경할 경우, 당시의 게스트 운영체제 상태를 저장한 파일
-> 가상머신으로 배경 만들고 메모리 덤프로 vmss파일 생성
+번외로
whitesnake1004.tistory.com/259
FTK Imager을 이용해서 디스크 이미지 만들기
FTK Toolkit 이란? 전 세계적으로 가장 많이 사용되고 있는 디지털 포렌식 분석 소프트 웨어중 하나로 사용하기 편한 인터페이스, 강력한 이메일 분석 기능 및 분산 프로세싱 능력등 강력한 기능을
whitesnake1004.tistory.com
FTK Imager를 이용해서 iso 파일을 만들 수 있다
'Forensics > CTF' 카테고리의 다른 글
| [Memory] GrrCON 2015 #6 (0) | 2021.05.05 |
|---|---|
| [Memory] GrrCON 2015 #5 (0) | 2021.05.05 |
| [DISK] 이벤트 예약 웹사이트를 운영하고… #C (0) | 2021.04.30 |
| [DISK] 이벤트 예약 웹사이트를 운영하고... #A (0) | 2021.04.30 |
| [DISK] 이벤트 예약 웹사이트를 운영하고… #B (0) | 2021.04.30 |
