문제를 보겠습니다.
악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데, 해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는다는 문제인데, 이 문제에 대한 키워드는 Mutex입니다.
고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex라한다.
Malware Mutex를 간단하게 이야기를 하면 뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는 프로그램 객체입니다. 뮤텍스는 일반적으로 동일한 멀웨어의 다른 인스턴스에 의한 시스템 감염을 피하기 위해서 멀웨어 생성자가 사용하는 기능입니다.
volatility에서는 mutex를 분석할 수 있는 플러그인이 있습니다. Mutant, Mutantscan이 있는데 이 플러그인으로 풀어보겠습니다.
volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 handles -p 2996 -t mutant
FLAG : fsociety0.dat
-reference-
https://cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects
'CTF-D > Memory' 카테고리의 다른 글
| [Memory] GrrCon 2015 #9 (0) | 2022.07.08 |
|---|---|
| [Memory] GrrCon 2015 #8 (0) | 2022.07.08 |
| [Memory GrrCon 2015 #6 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #5 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #4 (0) | 2022.07.08 |