WhiteHat 2015 (1) 썸네일형 리스트형 WhiteHat 2015 write up 1. 박부장 PC의 문서를 암호화한 랜섬웨어 파일은 무엇인가요?(전체 경로) 문제 파일을 받아서 압축을 해제해 보면 DISKDUMP.vmdk 파일과 MEMDUMP 파일이 존재 합니다. 메모리 덤프 파일을 통해서 프로세스를 좀 확인해 보겠습니다. profile이 Win7SP0x64을 사용하면 될 것 같습니다. 프로세스 및 하위 프로세스를 확인하기 위해서 여러 프로세스 플러그인 중에서 pstree를 사용해 보겠습니다. 위의 프로세스 트리를 확인해 보면 아래와 같다는 것을 알 수 있습니다. explorer.exe └ iexplore.exe └━ Hwp.exe └━━ temp.exe └━━━ cmd.exe └━━━━ OfficeHelp.exe 인터넷 익스프로러 하위에 Hwp.exe 라는 프로세스가 돌고 있습니다.. 이전 1 다음
