Q. 공격자가 rar 아카이브에 추가한 파일 명은 무엇인가?
rar 아카이브가 뭔지 몰라서 찾아봤는데, 그냥 뭘 압축한건지를 물어보는 거였음.
맨 처음엔 전 문제에서 찾은 rar파일로 압축된 걸 찾아서 dumpfiles를 해보려고 했는데
안나옴.
그래서 conhost.exe를 찾아봄
cmd창에서 수행하는 io를 담당하는 파일임
cmd창에서 압축을 수행했다면 conhost.exe에 기록되어 있을 거임.
python -f vol.py --profile=os명 cmdscan
하면 공격자가 공격할 당시 conhost의 pid를 알 수 있음.
pid를 알았으니 memdump를 통해서 파일을 복구 한 후에 strings 진행.
.rar 확장자로 검색해보면 답.
python -f vol.py --profile=os명 memdump -p 3048 -D ./
Forensic/Security/IT