반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
Tags
- DEFCON
- SQLD
- 다운로드
- defcon.mem
- 코딩
- c언어
- 오늘의 보안
- ctf
- sql
- 악성코드
- 리버싱
- Code Up
- C
- 보안
- C language
- cmd
- 오늘의 영어
- Volatility
- 설치
- codeup
- 오늘의 보안동향
- 랜섬웨어
- 보안동향
- 정보보안기사
- Memory Forensics
- C 프로그래밍
- 코드업
- Defcon DFIR CTF 2019
- 리버싱 핵심원리
- 멀웨어
Archives
- Today
- Total
오브의 빛나는 별
[Defcon DFIR CTF 2019] Memory 08 본문
반응형
8. mal-ware-are-you
의심되는 악성코드의 md5 해시값을 찾는 문제입니다.
pstree: 실행 중인 프로세스 간의 연결 구조를 트리형식으로 출력
명령어는 vol.exe -f 파일이름 --profile=프로파일이름 pstree 형식이나
vol.exe -f 파일이름 pstree --profile=프로파일이름 형식으로 쓰면 됩니다.
procdump: 프로세스 메모리 덤프 생성. 장애 프로세스의 원인을 파악하는데 사용.
명령어는 vol.exe -f 파일이름 --profile=프로파일이름 procdump -p PID -D . 형식으로 쓰면 됩니다.
certutil: 윈도우10에 내장되어 있는 md5 해시값 구하는 툴.
명령어는 CertUtil -hashfile 파일이름 MD5 형식으로 쓰면 됩니다.
vol.exe -f defcon.mem pstree --profile=Win7SP1x64
vol.exe -f defcon.mem --profile=Win7SP1x64 procdump -p 3496 -D .
certutil -hashfile executable.3496.exe md51) cmd 열기
2) pstree 이용.
3) procdump 이용.
4) certutil 이용.
먼저 pstree를 이용하여 PID를 구합니다. PID를 이용하여 procdump를 합니다. 결과값으로 나온 executable.3496.exe의 해시값을 certutil를 이용하여 구합니다.
정답: 690ea20bc3bdfb328e23005d9a80c290
반응형
'Defcon DFIR CTF 2019' 카테고리의 다른 글
| [Defcon DFIR CTF 2019] Memory 07 (0) | 2022.09.09 |
|---|---|
| [Defcon DFIR CTF 2019] Memory 06 (0) | 2022.09.08 |
| [Defcon DFIR CTF 2019] Memory 05 (0) | 2022.09.07 |
| [Defcon DFIR CTF 2019] Memory 04 (0) | 2022.09.06 |
| [Defcon DFIR CTF 2019] Memory 03 (0) | 2022.09.05 |
'Defcon DFIR CTF 2019' Related Articles
more
