Q. 원격 액세스를 위해 멀웨어가 시스템에 부여한 ID는 무엇입니까?
뭔진 모르겠는데 editbox 플러그인으로 검색해봤더니 숫자 9개 나왔음..
- 무슨 이상한 노어 나오는데, 인코딩 꼬인듯.
editbox: 사용자 세션의 응용프로그램에 대한 텍스트를 복구하여 심지어 비밀번호도 복구하는 플러그인이다. ID, 컴퓨터 이름, PID등 다양한 정보를 제공한다.
관련 문자열은 다 뽑아내는듯.
editbox 설명서 :
https://github.com/bridgeythegeek/editbox
2015년 파일들로 돌려봤더니 이건 멀쩡하게 안 꺠지고 나오네.
근데 이 파일만 editbox 써보니까 에러뜨네 원인이 뭐지..
하 찾았다 원인
*리눅스로 돌려보니까 이건 멀쩡하게 안 꺠져서 나온다. 찾았다 뻠인!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
윈도우 이녀석이었다.*
volatility 설치
$ sudo apt-get install git
$ git clone https://github.com/volatilityfoundation/volatility.git
$ cd volatility/
$ sudo python setup.py install
$ sudo apt-get install yara
$ sudo apt-get install python-pip
$ sudo -H pip install --upgrade pip
$ sudo -H pip install distorm3 pycrypto openpyxl Pillow
Forensic/Security/IT