악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다...
이를 malware mutex라고 한다. (적당한 도큐먼트 못찾음)
뮤텍스
자원에 대한 동시 접근을 피하기 위해 사용하는 프로그램 객체
일반적으로 악성코드가 기존에 감염되었던 시스템인지 여부를 확인하여 중복 실행을 방지하기 위한 목적으로 사용한다.
해당 뮤텍스가 이미 존재하는 경우 나중에 실행된 프로세스가 종료된다.
handles 플러그인
- 프로세스에 의해 열린 핸들의 목록을 나타낸다.
- 프로세스는 CreateFile 같은 함수를 사용해 핸들을 획득한다.
- 그런 핸들은 CloseHandle 함수가 호출되기 전까지 유효하게 사용한다.
프로세스 핸들
- 프로세스 정보 중 하나
- 커널이 관리하는 오브젝트들에 할당되는 유일한 값
- 프로세스 생성시 필요한 자원에 대한 사용 요청을 할 때 사용하는 값
- 파일, 디렉터리, 포트, 스레드, 세마포어 등 포함
- 하나의 프로세스에 여러 개의 핸들을 갖고있는 게 일반적
python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" handles -p 2996 -t Mutant
fsociety0.dat
생각의 흐름
- 문제에서 말한 '고유한 값', '자체 복사본 하나만 실행' 에 주목한다.
- 여기서 mutex를 생각해내야 한다.
- 여기서 다시 handles 플러그인 생각.....
'워게임 > CTF-D' 카테고리의 다른 글
| [Memory] GrrCON 2015 #10 (0) | 2021.12.13 |
|---|---|
| [Memory] GrrCON 2015 #9 (0) | 2021.12.13 |
| [Memory] GrrCON 2015 #6 (0) | 2021.12.13 |
| [Memory] GrrCON 2015 #5 (0) | 2021.12.12 |
| [Memory] GrrCON 2015 #4 (0) | 2021.12.12 |
댓글