[ctf-d] GrrCON 2015 #4

[ctf-d] GrrCON 2015 #4

 

 

 

 

악성코드에 인젝션된 프로세스의 PID를 찾아야 한다.

 

PID를 보려고 pstree 실행

volatility ~ -f ~.vmss --profile=~ pstree

 

 

쭉 봤다...

근데 뭐 본다고 아는 게 아님

 

그렇다고?

하나씩 해볼 수도 없기 때문에

 

구글링을 해보았습니다.

인젝션된 프로세스를 찾아보는 것에는

process explorer가 자주 쓰인다고 한다.

 

설치를 하긴 했는데

어떻게 사용하는지를 아직 정확하게 몰라서

...

일단 패스

 

남은 건 프로세스가 각각 어떤 프로세스인지 공부하는 법밖에 없다.

부모 프로세스가 없는 것들만 쭉 봤다.

 

 

 

 

 

csrss.exe

윈도우 시스템에 기본으로 동작되는 프로세스

 

wininit.exe

윈도우 초기화 프로세스들을 실행하는 프로세스

 

TeamViewer.exe

컴퓨터 원격 제어 프로세스

(TeamViewer가 컴퓨터 원격 제어 프로그램이라고 함)

 

Explorer.exe

작업 관리자 프로세스

 

winlogon.exe

윈도우 로그인 관리자

 

iexplore.exe

Windows internet Exploerer 실행 프로세스

 

 

 

 

 

더 찾아보니까

iexplore.exe는 원래 explorer.exe 하위 프로세스라고 한다.

그러면 부모 프로세스가 없이 출력된 iexplore.exe 가 플래그...?

 

 

iexplore.exe의 PID는 2996이다.

 

 

이렇게 야매로 푼 사람이 나 말고 또 있을까