crescendo Memory Problem 01

이제 볼라틸리티를 이용하여 분석하는 메모리 문제가 나왔다.

 

파일을 압축 해제하면 raw 파일이 나온다. 이것을 볼라틸리티로 분석해보도록 하겠다.

 

일단 imageinfo를 사용하여 타겟의 운영체제를 알아보았다.

 

그 후 pstree를 사용해서 악성 프로세스의 이름과 부모 프로세스의 이름을 찾아보도록 하겠다.

 

 

 

그 중 sms.exe.exe라는 파일을 찾았다. explorer.exe. 라는 부모 프로세스 밑에 있는 파일인데 .exe.exe 파일은 매우 수상하다.

 

따라서 가장 하위의 자식 프로세스인 sms.exe 와 explorer.exe가 정답이 된다.