악성프로그램의 실행 정보를 알아야 하므로, 윈도우 prefetch를 확인해야 한다.
악성프로그램의 실행 정보를 알아야 하므로, 윈도우 prefetch를 확인해야 한다.
바탕화면에 data2.encrypted라는 수상한 파일이 존재한다.
2020년 10월 28일 14시 14분 09초를 기점으로 실행된 파일을 확인해보자.
2020년 10월 28일 14시 14분 09초를 기점으로 실행된 파일들 중 의심스러운 프로그램 VBOXTESTER.EXE가 있었다. 아까 Desktop에 동일한 이름의 실행파일이 있었던 점에서 악성파일일 확률이 더 높은 것 같다.
Desktop에 위치하는 VboxTester.exe 파일을 추출해보면 아래와 같이 격리된다.
VboxTester.exe 가 악성 프로그램으로 예상되므로, 해당 프로그램의 실행 시간을 입력해주었다.
한국 기준 시간은 ftk imager에서 나온 시간(utc기준)에 9시간을 더해야하므로, 그렇게 더해서 입력해주었다.
'스터디 > CTF' 카테고리의 다른 글
| ctf 공부 9일차 (0) | 2021.07.13 |
|---|---|
| ctf 공부 8일차 (0) | 2021.07.12 |
| ctf 공부 5일차 (0) | 2021.07.09 |
| ctf 공부 4일차 (0) | 2021.07.08 |
| ctf 공부 3일차 (0) | 2021.07.07 |
