[ctf-d] GrrCON 2015 #5
레지스트리에 대해 정확하게 몰라서 구글링을 또 열심히 했다.
재부팅 이후 지속성을 유지하는 레지스트리 키
Microsoft\Windows\CurrentVersion\Run
참고: https://twoicefish-secu.tistory.com/59
레지스트리 키를 출력하는 명령어: printkey
-K 옵션을 사용하면 지정한 경로에 대한 레지스트리 키만 출력함
앞서 알게 된 레지스트리 키를 경로로 지정하고 키 출력
volatility ~ -f ~.vmss --profile=~ printkey -K "Microsoft\Windows\CurrentVersion\Run"
키가 총 두 개가 출력이 되었는데
두 개 중에 아래 키를 보면
AnyConnectInstaller.exe
어딘가 익숙한 파일 이름이다
#2에서 찾은 공격자가 사용한 파일!
플래그는 MrRobot
성공!
'Forensics' 카테고리의 다른 글
[ctf-d] GrrCON 2015 #7 (0) | 2022.08.04 |
---|---|
[ctf-d] GrrCON 2015 #6 (0) | 2022.08.04 |
[ctf-d] GrrCON 2015 #4 (0) | 2022.08.03 |
[ctf-d] GrrCON 2015 #3 (0) | 2022.08.03 |
[ctf-d] GrrCON 2015 #2 (0) | 2022.08.02 |