[CTF-D] GrrCON 2015 #7
음.. 멀웨어가 사용하는 고유의 이름..을 알아야한다.
시스템에서 자체 복사본 하나만 실행 하는 게 뭔지 잘 모르겠어서 검색을 해봤다.
https://cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects
Malware: Exploring mutex objects
A mutex, also called a lock is a program object commonly used to avoid simultaneous access to a resource, such a variable. It’s used in concurrent programming to allow multiple program threads to share the same resource. Mutexs are usually used by malwar
cybersecurity.att.com
mutex(mutant)라고 하는 것을 알게 되었다.
지금까지 사용했던 플러그인에서 얻을 수 없을 것 같다.
플러그인을 더 많이 알기 위해 help 명령어를 사용해봐야겠다.
이렇게만 봐서는 잘 모르겠어서 검색을 따로 더 해봤다.
https://yum-history.tistory.com/281
[Tool] Volatility
[Tool] Volatility (1) Volatility란? 메모리 포렌식에서 메모리 덤프 파일을 분석할 때, 가장 많이 사용되고 있는 도구 오픈 소스 기반으로 CLI 인터페이스를 제공하는 메모리 분석 도구 컴퓨터(노트북)에
yum-history.tistory.com
여기서 알게된 플러그인인 mutantscan이 눈에 들어왔다.
위에서 알게된 mutex(mutant)와 이름이 같았기 때문이다.
그럼 이 플러그인을 사용해보자!
많은 값들이 나왔다.
그 중에서 .dat 형식의 파일을 발견했다.
뭔가 의심스럽다.
🔑fsociety0.dat
클리어!
