OlympicDestroyer1 OlympicDestroyer - Volatility Contest 2018 풀이 [운영체제 식별] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1x86를 사용한다. [프로세스 검색] 차례대로 pslist, psscan, pstree, psxview 명령어를 실행하여 출력 값을 파일로 저장한다. pstree.log를 살펴보면 OlympicDestroy와 OlympicDestroy가 실행되면서 만들어진 _xut.exe, teikv.exe, ocxip.exe가 의심스럽다. pslist.log를 살펴보면 OlympicDestroy와 _xut.exe, teikv.exe, ocxip.exe가 1초의 시간 간격을 두고 실행된 것을 확인할 수 있다. [네트워크 분석] ne.. 2022. 7. 14. 이전 1 다음
