Q. 멀웨어가 C&C서버에 재인증시 사용하는 비밀 번호는?
5번 문제에서 확인했던 MRRobot 레지스트리에서 비밀번호를 기록하고 있을거 같은데,,
일단 한번 해보자
-
C&C 서버에 인증할 때 쓴다니까 iexplore를 memdump 해서 확인해보자
python vol.py -f 파일명 --profile=os명 memdump -p 2996 -D ./
다시 strings로 열어본 후에 MrRobot을 검색해보면 주변에 답이 나옴.
Forensic/Security/IT