PC를 손상시킨 악성 프로그램이 전 글에서 분석했던 iexplorer.exe 파일로 유추해볼 수 있다.
그렇다면 메모리 덤프를 확인해서 어떤 도구를 사용했는지 알 수 있을 것 같다.
바로 명령어를 입력해보자!
굉장히 많은 값이 나왔다.
이 많은 값들 중에서 찾는 것은 한계가 있기 때문에 힌트가 있을까 하고 문제를 다시 읽어 보았다.
문제에서 프론트 데스크를 언급 하고있다.
프론트 데스크를 검색해보자.
음..
음.. 의심되는 값이 나왔다.
문제에서 원하는 게 .exe 파일이니 .exe 파일을 살펴보았다.
살펴보니 총 4개의 .exe 파일이 있다.
그런데 문제에서 g로 시작하는 건 제외해야하니 총 3개의 파일이 맞다.
이를 알파벳 순으로 정렬하면
nbtscan.exe Rar.exe wce.exe 이다.
키 포맷에 맞게 작성해보면 nbtscan.exe, Rar.exe, wce.exe
🔑 nbtscan.exe, Rar.exe, wce.exe
클리어!
'Forensic' 카테고리의 다른 글
[Network] network_png (0) | 2022.08.09 |
---|---|
.vmem (0) | 2022.08.07 |
[CTF-D] GrrCON 2015 #9 (0) | 2022.08.06 |
[CTF-D] GrrCON 2015 #8 (0) | 2022.08.04 |
[CTF-D] GrrCON 2015 #7 (0) | 2022.08.04 |