ctf-d memory GrrCon 2015 #4

문제를 읽어보니 프로세스 인젝션을 사용한다고 한다.

 

한마디로 프로세스에 임의의 인젝션 코드를 넣어 프로그램이 실행되면 악의적인 코드가 같이 실행되는 것이다.

 

그렇다면 우리는 또! 이상한 프로세스를 찾아보아야 한다.

 

솔직히 말해서 실행되는 모든 프로세스의 PID를 넣으면 정답을 찾을 수 있지만 제대로 찾아보자!

 

pstree로 한번 프로세스를 살펴보자

 

자 뭔가 이상한게 나왔다.  iexplore.exe를 보아라.. 

 

iexplorer.exe는 독립적으로 실행되고 있다.

 

그렇다면 필자가 사용하는 window 10 에서 explore 는 어떻게 실행될까?

 

window에서 process Explorer을 사용하면 쉽게 알 수 있다. 아래에 하위 프로그램들이 많다.

 

즉 원래 explorer은 트리구조로 실행되는데 pstree로 살펴본 iexplore.exe는 트리구조가 아니다.

 

따라서 정상적으로 실행되고 있다고 보기 어렵고 악성코드가 포함된 프로세스라고 유추할 수 있다.

 

그래서 PID인  2996을 넣으면 정답이 된다.