Q. 공격자가 보안 관리자 pc에 예약된 작업을 만든 것 같다. 스케쥴링 작업과 연결된 파일의 이름은?
리눅스의 crond가 생갔났는데 이건 윈도우잖아. 그래서 윈도우의 경우는 어떤 확장자인지 알아봤는데
job 이었음.
- python -f vol.py --profile=os명 filescan | findstr job 을 하면
이름이 job인거, 확장자 job인거 섞여서 나오는데 그 중 확장자 job인 것을
python -f vol.py --profile=os명 dumpfiles- Q offset -D ./ 하면 파일을 추출 해 낼 수 있음.
이거 까서 보면, 안에 어떤 작업 내역이 예약된건지 나오는데 주소/1.bat파일이 있음.
근데 1.bat파일이 뭐하는 파일인지 아직 모르니까, 문제에서 말한 공격자와 연관된 파일인건지는 모름.
그러니 1.bat 또한 찾아내서 안에 내용을 까 보면,
python -f vol.py --profile=os명 filescan | findstr 1.bat
python -f vol.py --profile=os명 dumpfiles -Q offset -D ./
wce.exe프로그램과 연관된 걸 알 수 있음.
그렇다면 문제에서 말한 파일은 ??
Forensic/Security/IT