GrrCON2015 _7

0

디지털포렌식

목록 보기
32/115
post-custom-banner

Q 멀웨어는 종종 고유한 값 또는 이름을 사용하여 시스템에서 자체 복사본 하나만 실행되도록 한다. 멀웨어가 사용하는 고유 이름은?

  1. 복사본 ~ : mutex / 스레드 들 사이에 공유가 배제되는 객체. 가 떠오른다
    volatility에는 mutantscan 기능이 있음.
    python vol.py -f 이름 --profile=OS mutantscan
    이거 써도 되고 python vol.py -f 이름 --profile=OS handles -p 2996 -t Mutant
    이렇게 해도 됨.

    근데 전자보다는 후자가 맞는게, 전자는 그냥 mutant 모두를 검색하는 거고
    후자는 handles를 통해서 2996 (iexplore) 아까 감염된거 확인한 ps에서 돌아가는 mutant를 찾은 거임

    즉 더 "정확한" 검색인거임.

    실행하면 답

0개의 댓글