반응형
반응형
반응형

Title
Memoryyyyy Dumpppppp

Description
Korean
어느날 나는 커피집에서 노트북을 놓고 잠시 자리를 비웠다.
그리고 다시 와서 작업을 하다가 작업프로그램이 갑자기 꺼졌고, 작업파일들이 모두 다 삭제되었다.
원인을 찾기위해 나는 서둘러 메모리 덤프를 만들었다.
이 메모리 덤프파일을 분석하여 다음 정보를 알아내자.

키 형식 : (Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years)
ex (explorer.exe_1234_7777_Mon-Jan-01-12:00:00-2012)

English
One day, I put the laptop in a coffee house, Left for a minute.
And had come back to work. Then work program has been shut down and all work file was deleted.
To find the cause I'm in a hurry and made a memory dump.
Let 's find out information through analyze memory dump file.

Key Format : (Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years)
ex (explorer.exe_1234_7777_Mon-Jan-01-12:00:00-2012)





volatility를 사용했다.



vol.py -f '/root/Desktop/xczprob2' imageinfo



winXP 운영체제를 사용한다.


 vol.py -f '/root/Desktop/xczprob2' --profile=WinXPSP3x86 connections

프로세스 하나가 사용한것을 확인할 수 있다.




vol.py -f '/root/Desktop/xczprob2' --profile=WinXPSP3x86 pstree


범인은 nc.exe였다.



authkey : nc.exe_1124_80_Fri-Nov-02-09:06:48-2012





반응형

'WAR GAME > XCZ.kr' 카테고리의 다른 글

XCZ.kr [prob 26] 풀이  (0) 2018.09.11
XCZ.kr [prob 25] 풀이  (0) 2018.09.11
XCZ.kr [prob 23] 풀이  (0) 2018.09.11
XCZ.kr [prob 22] 풀이  (0) 2018.09.11
XCZ.kr [prob 21] 풀이  (0) 2018.09.10

+ Recent posts