Write up (2) 썸네일형 리스트형 HDCON Track 1 write up (1) 사건의 원인? 첨부된 vmware 파일을 열어서 확인해 보면 default 경로에 아래와 같이 숨겨진 파일들이 엄청 많은 것을 확인 할 수 있다. 이런 파일 중에서 .viminfo 파일이 눈에 보입니다. .viminfo 파일이란 vim을 사용했을때 작성되는 일종의 log 파일을 의미합니다. 해당 파일에는 vim 을이용해서 수정하고 작업을 했던 파일의 로그 파일 형식처럼 작성이 됩니다. 해당 파일을 열어보면 매우 방대한 내용이 들어있습니다. 여기에 적혀있는 파일들을 정리해 보면 아래와 같습니다. 위의 경로를 확인해 본 결과 /root/ 는 접근이 불가능 했고, /var/www/html/test.html 파일은 존재 하지 않았다. wordpress 와 관련 있는 파일들을 자세히 봐야 할것 같다. 그중.. WhiteHat 2015 write up 1. 박부장 PC의 문서를 암호화한 랜섬웨어 파일은 무엇인가요?(전체 경로) 문제 파일을 받아서 압축을 해제해 보면 DISKDUMP.vmdk 파일과 MEMDUMP 파일이 존재 합니다. 메모리 덤프 파일을 통해서 프로세스를 좀 확인해 보겠습니다. profile이 Win7SP0x64을 사용하면 될 것 같습니다. 프로세스 및 하위 프로세스를 확인하기 위해서 여러 프로세스 플러그인 중에서 pstree를 사용해 보겠습니다. 위의 프로세스 트리를 확인해 보면 아래와 같다는 것을 알 수 있습니다. explorer.exe └ iexplore.exe └━ Hwp.exe └━━ temp.exe └━━━ cmd.exe └━━━━ OfficeHelp.exe 인터넷 익스프로러 하위에 Hwp.exe 라는 프로세스가 돌고 있습니다.. 이전 1 다음
