Q 멀웨어는 종종 고유한 값 또는 이름을 사용하여 시스템에서 자체 복사본 하나만 실행되도록 한다. 멀웨어가 사용하는 고유 이름은?
-
복사본 ~ : mutex / 스레드 들 사이에 공유가 배제되는 객체. 가 떠오른다
volatility에는 mutantscan 기능이 있음.
python vol.py -f 이름 --profile=OS mutantscan
이거 써도 되고 python vol.py -f 이름 --profile=OS handles -p 2996 -t Mutant
이렇게 해도 됨.근데 전자보다는 후자가 맞는게, 전자는 그냥 mutant 모두를 검색하는 거고
후자는 handles를 통해서 2996 (iexplore) 아까 감염된거 확인한 ps에서 돌아가는 mutant를 찾은 거임즉 더 "정확한" 검색인거임.
실행하면 답
Forensic/Security/IT