ctf-d memory GrrCON 2015 #24

POS에서 화이트리스트로 정의된 악성코드는 무엇인가? 라는 문제이다. 

 

말 그대로 악성코드인데 버젓이 시스템의 화이트리스트에 올라와있는 프로그램을 찾아야 한다.

 

그렇다면 23번 문제에서 dump한 파일을 분석해보겠다.

 

123.txt 로 변환해준다.

 

그렇다면 이러한 txt파일이 나온다.

 

파일에 들어있는 문자들이 많은데 구글링을 하던 중 외국 사람이 찾은 write up 에서 Dexter 악성 코드를 다루는 기사를 보게 되었다.

 

출처 : https://www.ghettoforensics.com/2016/05/grrcon-2015-memory-forensics-grabbing.html

 

위 사진이랑 비교해보면 allsafe_protector.exe 라는 실행파일은 보이지 않는다. 

 

flag : allsafe_protector.exe