https://whitesnake1004.tistory.com/698
Memory - GrrCON 2015 #22
새로운 파일이기 때문에 imageinfo 를 해보겠습니다. Win7SP0x86 을 사용하면 될 것 같습니다. 멀웨어의 C&C 서버를 찾는 문제입니다. malfind 플러그인 을 이용하면 뭘웨어를 찾을 수 있습니다. 해당 프
whitesnake1004.tistory.com
이 풀이가 나에겐 와닿지 않는다.
순전히 제가 생각한 흐름이니까 틀린 점 있으면 알려주세요.
"내가 생각하는" 풀이의 흐름은 이렇다.
c&c 서버라고 했으니까 netscan결과를 봐야겠다. 여러 결과가 나오는데 iexplore.exe가 딱 하나 있고 눈에 띈다. 
54.84.237.92가 답이라고 생각이 들지만, 더 정확히 판단을 내리기 위해서 malfind결과를 본다.
malfind
- 사용자 모드 형태로 은폐되어 있거나 인젝션 된 코드 또는 DLL 정보를 분석하는 명령어
- VAD 태그와 페이지 권한들 같은 문자들을 기반으로 사용자 모드 메모리에 숨겨져 있거나 삽입되어 있는 코드가 DLLs를 찾아낸다.
python vol.py -f pos1.vmss --profile="Win7SP1x86_23418" malfind
많은 결과가 나오는데 iexplore.exe가 2개 나오는데 앞의 결과 3208이 여기 있다.
때문에 netscan의 결과로 발견한 ip가 정답인 것을 확신할 수 있다.
54.84.237.92
'워게임 > CTF-D' 카테고리의 다른 글
| [Memory] GrrCON 2015 #24 (0) | 2021.12.14 |
|---|---|
| [Memory] GrrCON 2015 #23 (0) | 2021.12.14 |
| [Memory] GrrCON 2015 #21 (0) | 2021.12.14 |
| [Memory] GrrCON 2015 #17 (0) | 2021.12.13 |
| [Memory] GrrCON 2015 #16 (0) | 2021.12.13 |
댓글