728x90
문제를 보겠습니다.
재부팅 후에도 지속성을 유지하기 위해 사용하고 있는 레지스트리는 Microsoft\Windows\CurrentVersion\Run의 경로에 저장되어 있음을 파악할 수 있었습니다.
그럼 바로 printkey 플러그인을 통해서 찾아 보겠습니다.
volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 printkey -K "Microsoft\Windows\CurrentVersion\Run"
하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 악성코드 관련 실행 파일인 AnyConnectInstall.exe 가 사용하는 MrRobot이라는 레지스트리 키입니다.
FLAG : MrRobot
728x90
'CTF-D > Memory' 카테고리의 다른 글
| [Memory] GrrCon 2015 #7 (0) | 2022.07.08 |
|---|---|
| [Memory GrrCon 2015 #6 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #4 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #3 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #2 (0) | 2022.07.08 |