![[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-18/19](https://mblogthumb-phinf.pstatic.net/MjAxOTEyMjBfMTcx/MDAxNTc2ODMxMzc2Mjc4.0Zj54OVhbBOGy_J7QjgUIjmtsDBSHoFsH3AOXjZhM6sg.iqMzas5Yrixy_tfO4jxzVN4d1rvzOLyKRSO9pfac2qIg.JPEG.pouerccat/%C4%B8%C3%B3.JPG?type=w2 "[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-18/19")
흠.. 파일을 암호화 했댄다. 그렇다면 망간이동을 하였고 어떤 도구로 암호를 했을까..? 보면 되겠지.근데 아까 추출해놓은 cmdscan에서 무언가를 본것 같았는데..?* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # ..........
원문링크 : [CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-18/19
네이버 블로그
티스토리
커뮤니티