Q 공격자의 악성코드는 프로세스 인젝션을 사용하는 것 같다. 악성코드에 감염된 PID를 찾아라.
- VOLUTILITY를 사용하라고 하는데, 난 윈도우라서 + 설치도 힘들어서 그냥 volatility 썼음.
- pstree 분석할 때는 자식 프로세스로 실행되야하는데 혼자서 실행된 경우 혹은 반대로 자식이 있어야하는데 없이 부모만 있는 경우 등등을 의심해야함.
이번 경우는 iexplore가 그러하였음. pid 입력. 끝
Forensic/Security/IT