![[N0Named Forensic] infect](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Flkfjj%2Fbtq5fwAMjXX%2FsInISSP0dN2iVWhcaiodI1%2Fimg.png)
728x90
주어진 문제 파일을 FTK로 열었다.
일단 Downloads 폴더에 가봤다. Users/swing/Downloads 폴더에 누가봐도 수상해 보이는 파일이 있었다. Virtual Box 크랙 버전.. 아마 이게 악성코드에 감염된 원인이 아닐까 싶다. 또 그 밑에 'VBOXTE~1.EXE' 라고 삭제된 파일도 보인다.
Desktop에는 VboxTester.exe 파일이 있는데,, 그 위에 encrypted 파일이 보인다. 랜섬웨어에 감염되어 파일이 암호화되었나 보다..
이제 실행 시간을 살펴봐야 한다.
파일의 실행 흔적은 프리패치에 있고 프리패치는 트리에 버젓이 있어서 좋았다.
목록에서 'VBOXTESTER.EXE~.pf'를 찾았다.
일단 Desktop에서 추출을 해봤다..일단
실행 시키니 파일이 막;;
악성 파일은 이게 확실하다..ㅎㅎ;;
파일명: VboxTester.exe
실행 시간: 10월 28일 23시 14분 09초
-비하인드
NDD로 별 거 다해보다가 이렇게 되었다..ㅎㅎ
NDD{VB0x1nst4ller_crackversion.exe_1028.23:14:09}
NDD{VBOXTESTER.EXE_1028.23:14:09}
NDD{VboxTester.exe_1028.23:14:09}
NDD{VboxTester.exe_1028.23:14:09}
NDD{VBOXTESTER.EXE-B0C890945_1028.23:14:09}
728x90
'Wargame > N0Named Wargame' 카테고리의 다른 글
| [N0Named Misc] 아무 의미 없는 것들도... (0) | 2021.05.20 |
|---|---|
| [N0Named Forensic] [B] 유출된 자료 거래 사건[3] (0) | 2021.05.19 |
| [N0Named Forensic] [C] 어제 뭐 했어? (0) | 2021.05.19 |
| [N0Named Forensic] [A] 길에서 주어온 만두 (0) | 2021.05.19 |
| [N0Named Forensic] [A] 입사 테스트[1] (1) | 2021.05.19 |