crescendo Memory Problem 03

 

파일을 추출하는 문제이다.

우선 imageinfo로 파일의 운영체제를 알고 pstree를 분석해본다.

 

그런데 리눅스로 하면 안된다. 이유를 잘 모르겠다. 그래서 window에서 실행해보니 문제없었다.

 

window로 volatility를 실행해서 pstree를 사용하니 svchost.exe 가 다 자식 프로세스에 있는것을 볼 수 있다.

 

svchost.exe는 여러개가 실행될 수 있으나 다음의 경우를 바이러스로 의심할 수 있다.

 

1. SVCHOST 혹은 Svchost, svchosts 처럼 글자가 바뀐 경우 

2. svchost의 위치가 이상함

3. svchost를 호출한 상위 프로그램이 이상할 경우

4. svchost가 단독으로 쓰이는 경우

 

이번 문제의 경우 3번에서는 정상적으로 services.exe 아래에 잘 있는것을 볼 수 있다. 

 

하지만 4번의 경우에서 걸린다. 단독으로 svchost.exe가 사용되고 있다.

 

 따라서 이 파일만 따로 빼고싶다면 procdump를 사용하면 된다.

 

마지막 부분에는 파일을 원하는 경로에다 지정해주면 그 경로에 파일이 추출될 것이다.

 

flag : 819883BC936337F525BC6D520562E5D785F1C64E