1. 자동실행 악성코드 최초실행 시각 찾기
- Prefetch (프리패치)
- 실행시각 찾기 => Prefetch 사용
- 윈도우XP에서부터 사용.
- 메모리 관리 정책
- 응용 프로그램이 필요로 하는 파일과 데이터의 주요 부분을 메모리에 로드하여 효율적으로 사용 가능.
- Prefetch 분석
- 2021화햇기출 (WinPrefetchView 사용)
- WinPrefetchView 사용 -> 실행된 응용 프로그램, 실행된 시간, 경로, 횟수 등 확인 가능
- 2021화햇기출 (WinPrefetchView 사용)
-
결과
-
Postscript 분석 -> IIsExt.vbs 실행 후 WScript 언급 확인
-
WinPrefetchView에서 WScript 탐색 -> WSCRIPT.EXE.pf 파일 확인 -> WScript가 IIsExt.vbs를 실행시킨 것 확인
-
IIsExt.vbs 최초 실행 시각은 WSCRIPT.EXE.pf의 LastRunTime
(WinPrefetchView에서 확인 가능)
-
FLAG
FLAG{자동실행 악성코드 최초실행시각}
=> FLAG{2021_09_09_05_59_36}
