멀웨어 감염 경로에 대해서
274
21 asked
volatility 플러그인 옵션 .cmdline으로 로그 파일을 추출해서 보면 Command line : "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 으로 인자값이 없습니다.
filescan로그값을 보더라도 pdf파일이 로드 되지않았음을 알수 있습니다.
foremost 으로도 pdf파일이 메모리 덤프파일안에는 없는것을 확인 하였습니다.
Reader_sl.exe의 PPID가 explorer.exe 이므로
유저에 조작에 의해서 PC에서 직접 Reader_sl.exe 가 호출된것인가요?
Reader_sl.exe는 어디서 다운로드 되었을까요?
억지로 만들어진 예제 파일이므로 해당 정보는 알 수 없는것인가요?
Answer 1
0
안녕하세요! 여전히 열심히 공부하고 계시네요 :)
강의 조금 더 진행하시다보면 cridex에 대한 정리 및 추가 과제가 있습니다.
해당 과제를 심도있게 진행하다보면 감염 경로에 대한 정보를 얻을 수 있습니다!!!
감사합니다~
맥북사용
0
61
0
FTK imager블루스크린
0
93
1
strings_1640.log
0
69
1
ftk imager 다운로드 막힘
0
270
1
strings
1
104
2
필요한 용량과 맥북 윈도우 설치방법
0
133
1
이 강의를 들으면 휴대폰 복구도 할 수 있나여?
0
328
1
FTK Imager에서 dll이 없다고 실행이안됩니다
0
168
1
FTK Imager 앱 사용방법
0
363
1
FTK root 파일리스트 export files 비활성화
0
159
0
ftk imager 설치
0
571
1
6강 디스크 이미징 질문입니다.
0
223
2
.img .dat 파일 형식 질문
0
239
2
USB.001 파일 다운 문제
0
435
2
삼성 보안 폴더 삭제
0
668
2
FTK imager 오류
0
439
2
FTK 설치 질문
0
287
1
맥북과 윈도우 노트북 질문
0
321
1
Windows Registry 실습에 사용하는 rega 프로그램 사이트가 안 들어가집니다.
1
904
3
USB.001 파일이 다운이 안됩니다.
0
466
2
FTK Imager 용량 줄이는 방법
0
505
2
해당 강의를 기반으로 네이버 블로그에 정리를 해도 될까요?
0
418
2
autopsy다운로드 error메세지
0
385
2
Windows 11에 추가, 변경된 아티팩트가 있어서 공유합니다.
0
534
2