Q. 원격 액세스 도구로 시스템에 마지막으로 연결했던 IPV4 주소는 무엇입니까?
원격 액세스 도구 / ipv4 주소.
원격 액세스 도구가 뭘까 찾아보니, teamviewer가 있었음.
teamviewer 파일 4번에서 dump해둔 것 있었으니 이걸 strings 해서 뽑아봅시다.
리눅스에서
strings 파일명 | grep -B 3 -A 2 -E "([0-9]{1,3}[.]){3}[0-9]{1,3}" | grep 원하는 단어명(여기선 teamviewer) -B 3 -A 3 하면 원하는 단어 근처에 ip 주소 형태가 있는지 확인 가능함.
strings 파일명 | grep -B 3 -A 2 -E "([0-9]{1,3}[.]){3}[0-9]{1,3}" | grep teamviewer -B 3 -A 3
- -E : 확장 정규식 사용
-B <갯수> : 줄 수만큼 출력 내용의 앞부분을 출력합니다
-A <갯수> :줄 수만큼 출력 내용의 뒷부분을 출력합니다
더 찾아 볼꺼면 keyword는 grep으로 검색하면 될듯.
간단하게 설명하면 []는 안에 대상, 여기선 0-9 중 1개, {n,m}는 n번 이상 m번 미만, [.]는 .이 있어야한다는 뜻. 즉 (0-9숫자가 1번 이상 3번 이하 반복 + ".") 이게 3번 반복 된 후에 숫자 3개가 붙는, 즉 ip형태의 문자열이 tempviewer 근처에 있는지 확인하는 명령어임.
찾아보면 ip랑, teamviewer 단어 확인이 가능함.
Forensic/Security/IT