24번은 POS에서 화이트리스트로 정의된 악성코드 이름을 찾는 문제이다.
이미 앞의 문제들을 다루면서 악성으로 판단한 프로세스의 PID를 인자로 하여 malfind 명령을 실행하였다. malfind는 일반적인 method로는 찾기 힘든 정보를 찾게 해주는 기능을 한다.
명령을 실행한 결과로 위와 같은 dmp파일이 생성된다.
이를 바로 읽기는 어렵기에 txt파일로 변환을 해준 뒤,
변환된 txt를 호스트 PC로 옮겨 미리보기로 보여지는 내용의 일부를 보았다. 미리보기 내용의 윗부분을 보면 새로 보이는 몇몇 프로그램들이 눈에 띈다.
이 몇몇 프로그램들은 위의 pstree 명령의 출력 결과(일부만 발췌)에서는 나오지 않는 것들로서, 공격자가 화이트리스트로 특정 프로그램들을 미리 정해 포함시켜 공격 시 사용하게끔 하도록 한 것이라는 생각이 들었다. 위에서 표시된 프로그램 중 'alg.exe'는 구글 검색 결과, 보안 관련해서 필요 혹은 안전하다는 내용이 자주 보이므로 악성코드는 아닐 확률이 높다고 생각이 들었다.
그렇다면 이제 남은 것은 'allsafe_protector.exe'인데, 이를 flag로 제출하니 정답이었다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #26(26) (0) | 2022.01.08 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #25(25) (0) | 2022.01.08 |
| [DigitalForensic with CTF] GrrCON 2015 #23(23) (0) | 2021.12.28 |
| [DigitalForensic with CTF] GrrCON 2015 #22(22) (0) | 2021.12.27 |
| [DigitalForensic with CTF] GrrCON 2015 #21(21) (0) | 2021.12.27 |
