아니 왜 사진이 안 없어지지..
우리는 Process Name, PID, Port 넘버, Process 실행시간(week-Moth-Day-Hour:Min:Sec-Years)를 알아내야 한다.
imageinfo
가장 먼저, volatility의 imageinfo를 통해 메모리 덤프의 운영체제를 확인해볼 수 있다.
->WinXPSP2x86
connections
그다음으로 connections 명령어를 통해서 네트워크 분석(현재 연결된 TCP 통신에 대한 정보)을 한다.
프로세스 하나가 사용한 것을 알 수 있으며 PID가 1124이다.
->PID: 1124
psxview
PID가 1124인 프로세스는 'nc.exe' 파일이었고, pslist는 실행하는 파일의 시간 순서대로 보여주는데 해당 파일이 FALSE인 것을 보아 의심가는 파일임을 알 수 있다.
따라서 nc.exe가 숨겨진 상태로 실행된 것이다.
->파일명: 'nc.exe'
이제, psscan을 통해서 프로세스 실행시간을 알아낼 수 있다.
2012년 11월 2일 09:06:48d이므로 키 형식으로는 'Fri-Nov-02-09:06:48-2012'이다.
->시간: Fri-Nov-02-09:06:48-2012
port 번호는 아까 확인했던 connections에서 볼 수 있다. 172.30.1.6 IP로 80번 포트로 들어온 것을 알 수 있다.
->port: 80
성공!
강의 수강 인증
Cyber Security