crescendo Memory Problem 01
2021. 5. 15. 14:25ㆍcrescendo
이제 볼라틸리티를 이용하여 분석하는 메모리 문제가 나왔다.
파일을 압축 해제하면 raw 파일이 나온다. 이것을 볼라틸리티로 분석해보도록 하겠다.
일단 imageinfo를 사용하여 타겟의 운영체제를 알아보았다.
그 후 pstree를 사용해서 악성 프로세스의 이름과 부모 프로세스의 이름을 찾아보도록 하겠다.
그 중 sms.exe.exe라는 파일을 찾았다. explorer.exe. 라는 부모 프로세스 밑에 있는 파일인데 .exe.exe 파일은 매우 수상하다.
따라서 가장 하위의 자식 프로세스인 sms.exe 와 explorer.exe가 정답이 된다.
'crescendo' 카테고리의 다른 글
| crescendo Memory Problem 03 (0) | 2021.05.15 |
|---|---|
| crescendo Memory problem 02 (0) | 2021.05.15 |
| crescendo Web History Problem 01-1 (0) | 2021.05.09 |
| crescendo MFT problem(1번 해결 2번 X) (0) | 2021.05.08 |
| crescendo LNK Problem 05 (0) | 2021.05.08 |