촉촉한초코칩

1) 이미지 식별 -> 운영체제 선택 (Win7SP1x86) 2) pslist, psscan, pstree, psxview, connections, cmdline, cmdscan, consoles.log 파일 생성 3) 의심스러운 파일 찾아내기 * pslist보다 pstree에서 PID와 PPID를 먼저 보는 것이 좋다. * 프로세스들 이름 검색해보기 * 의심스러운 프로세스 하위 프로세스도 의심해본다. 4) pslist에서 시간순서대로 의심스러운 프로세스나 명령어 보기 * 해커가 어디서부터 침투했는지 확인 TeamViewer.exe부터 확인 -> PID 값 확인 5) 의심스러운 프로세스 memdump cmdscan.log 파일에서 해커가 어떤 명령어를 실행했는지 확인한다. 봐야 할 것 1. outlook..

Volatility 도구 : 메모리 관련 데이터를 수집해주는 도구 1) volatility -f imageinfo -> volatility_2.6_win64_standalone.exe -f ./cridex.vmem imageinfo imageinfo : 메모리 덤프를 보고 volatility가 어떤 운영체제의 메모리 덤프인지 판단 어떤 운영체제인지에 대한 값이 앞으로의 모든 분석에서 사용된다. 모든 분석에 앞서서 imageinfo를 통해 메모리가 어떤 운영체제의 메모리인지 찾아야 한다. 2) pslist : 프로세스들의 리스트를 출력한다. -> 출력되는 내용을 pslist.log에 저장한다. 3) volatility에서 프로세스들을 볼 수 있는 도구 : psscan, pstree, psxview -> l..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.