오늘의 문제

오랜만에 ctf, 그것도 포렌식 문제를 풀어본다.

작업파일들이 모두 삭제된 원인을 찾기 위해 메모리 포렌식을 하는 문제이다.
메모리 덤프파일 분석 -> kali linux에서 volatility3를 이용해서 풀어보자.

키 형식으로 보건데, 어느 프로세스에서 문제가 발생하여 모두 삭제되었고, 원인인 프로세스를 찾으면 해결되는 문제인 듯 하다.
칼리 리눅스를 켜서 volatility3을 실행시켜 보았다.


해당 파일(xczprob2) 에 대한 기본적인 정보가 나온다.
프로세스 리스트를 살펴보도록 하자.


여기서 눈여겨봐야할 것: nc.exe

nc는 netcat의 약자로, 공격용으로 많이 이용되는 프로그램이기 때문에 발견시 주의깊게 살펴보도록 하자.

다른 실행파일에서 별다른 문제점을 찾지 못하였고, nc를 사용했다는 것 자체가 이 컴퓨터가 공격받았을 확률이 높기 때문에 원인 프로세스를 nc.exe라고 하고, pid는 1124, 실행시간은 2012-11-02 09:06:48이라고 하자.
이제부터 port를 찾아야 한다.
port의 경우, vol.py -f xczprob2 windows.netscan or vol.py -f xczprob2 windows.netstat 명령어로 알아낼 수 있다.
내 컴퓨터에서는 netscan과 netstat 명령어가 실행되지 않기 때문에, 아직 포트 번호를 구하지는 못했다. 일단 이 명령어 처리 문제를 해결하고 나중에 다시 풀어봐야 할 듯 싶다.