Q. 프론트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 메일을 클릭한 것을 당신에게 보고했다. 프론트 데스크로 보낸 이메일의 주소는 ?
-
파일을 받아서 보면, vmss 파일임. (Virtual Machine에서 OS를 저장한 파일)
-
volatility를 통해서 분석해보자
python volatility.py -f 파일명 imageinfo : 운영체제 정보 확인
python volatility.py -f 파일명 --profile = 확인한 운영체제 정보 (기본 포맷) -
기본포맷 + pslist (실행중인 ps를 확인하는 플러그인)
-
확인해보면 outlook. email관련 프로그램이 나왔음.
-
그럼 이걸 dump해서 보면 (Memory Dump 는 OS의 Memory 를 File 형태로 저장하는 것)
python volatility.py -f 파일명 --profile = os명 memdump -p 3196(아까 본 outlook 프로세스명) -D ./ 하면
파일이 나옴 -
그럼 다시 안에서 관련된 이메일을 찾기위해서 strings를 써보면, 안에서 문자열중에 이메일 확인.
Forensic/Security/IT