ctf-d GrrCon 2015 #7

악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데,

해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는 문제 같다.

여기서 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex 라고 한다. 

 

뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는 프로그램 객체입니다. 일반적으로 동일한 멀웨어의 다른 인스턴스에 의한 시스템 감염을 피하기 위해서 멀웨어 생성자가 사용하는 이다.

 

volatility의 handles 플러그인을 사용한다. 

PID값이 2996인 악성코드 관련 iexplore.exe 프로세스를 설정하고, type을 Mutant로 실행한다.