Q. 공격자가 사용하는 마지막 teamviewer 계정이름은?
공격자 / teamviwer / 계정이름.
teamviewer파일 덤프해보자.
일단 pstree 검색으로는 안나와서 filescan findstr teamviewer를 해 봤다.
근데 아무것도 안나옴.
뭐지??
그래서 skype파일 덤프한 1364.dmp 파일을 strings해서 teamviewer검색해봤음.
근데 뭐가 나오네? 여긴가?
일단 teamviewer를 검색해보니 뭐가 잔뜩 나오긴 하는데 ID같은건 보이지 않았음.
더 찾아보니
계정은 teamviewer id 형식인 000_000_000 형태랑 있다고 함.
grep -P "\d{3} \d{3} \d{3}" 검색할 파일명
해보면 teamviewer에 접속했던 계정 이름들 목록이 다 나오는걸 알 수 있었음.
이건 유용하게 쓸 수 있을듯.
Forensic/Security/IT