멀웨어 감염 경로에 대해서
275
작성한 질문수 21
volatility 플러그인 옵션 .cmdline으로 로그 파일을 추출해서 보면 Command line : "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 으로 인자값이 없습니다.
filescan로그값을 보더라도 pdf파일이 로드 되지않았음을 알수 있습니다.
foremost 으로도 pdf파일이 메모리 덤프파일안에는 없는것을 확인 하였습니다.
Reader_sl.exe의 PPID가 explorer.exe 이므로
유저에 조작에 의해서 PC에서 직접 Reader_sl.exe 가 호출된것인가요?
Reader_sl.exe는 어디서 다운로드 되었을까요?
억지로 만들어진 예제 파일이므로 해당 정보는 알 수 없는것인가요?
답변 1
0
안녕하세요! 여전히 열심히 공부하고 계시네요 :)
강의 조금 더 진행하시다보면 cridex에 대한 정리 및 추가 과제가 있습니다.
해당 과제를 심도있게 진행하다보면 감염 경로에 대한 정보를 얻을 수 있습니다!!!
감사합니다~
맥북사용
0
62
0
FTK imager블루스크린
0
96
1
strings_1640.log
0
72
1
ftk imager 다운로드 막힘
0
275
1
strings
1
107
2
필요한 용량과 맥북 윈도우 설치방법
0
135
1
이 강의를 들으면 휴대폰 복구도 할 수 있나여?
0
331
1
FTK Imager에서 dll이 없다고 실행이안됩니다
0
170
1
FTK Imager 앱 사용방법
0
366
1
FTK root 파일리스트 export files 비활성화
0
161
0
ftk imager 설치
0
573
1
6강 디스크 이미징 질문입니다.
0
227
2
.img .dat 파일 형식 질문
0
243
2
USB.001 파일 다운 문제
0
440
2
삼성 보안 폴더 삭제
0
674
2
FTK imager 오류
0
445
2
FTK 설치 질문
0
293
1
맥북과 윈도우 노트북 질문
0
325
1
Windows Registry 실습에 사용하는 rega 프로그램 사이트가 안 들어가집니다.
1
906
3
USB.001 파일이 다운이 안됩니다.
0
469
2
FTK Imager 용량 줄이는 방법
0
510
2
해당 강의를 기반으로 네이버 블로그에 정리를 해도 될까요?
0
423
2
autopsy다운로드 error메세지
0
389
2
Windows 11에 추가, 변경된 아티팩트가 있어서 공유합니다.
0
539
2