반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- 보안동향
- cmd
- 리버싱 핵심원리
- 멀웨어
- c언어
- 다운로드
- 리버싱
- C 프로그래밍
- defcon.mem
- 코딩
- sql
- SQLD
- 코드업
- 랜섬웨어
- 악성코드
- ctf
- 설치
- codeup
- C language
- 오늘의 보안
- 오늘의 보안동향
- Memory Forensics
- C
- 오늘의 영어
- 정보보안기사
- Defcon DFIR CTF 2019
- 보안
- Volatility
- Code Up
- DEFCON
Archives
- Today
- Total
목록OfficeClickToR (1)
오브의 빛나는 별
[Defcon DFIR CTF 2019] Memory 07
7. i 저장할파일이름 형식으로 쓰면 됩니다. vol.exe -f defcon.mem dlllist --profile=Win7SP1x64 > dlllist.txt 1) cmd 열기 2) dlllist 이용. 저는 txt 파일로 저장해서 확인했습니다. txt 파일에서 VCRUNTIME140.dll을 찾아보면 2번째 사진과 같이 나옵니다. 경로를 보면 ClickToRun을 사용하고 있는데 이걸 돌리는 프로세스 이름은 OfficeClickToR입니다. 정답: OfficeClickToR
Defcon DFIR CTF 2019
2022. 9. 9. 17:48