반응형

볼라틸리티 플러그인 windows.psscan를 이용하여 살아있는 프로세스를 확인하려고 했다.

수집한 psscan에서 explor3r.exe 수상한 프로세스를 확인할 수 있습니다.

windows.filescan 플러그인 결과에서 explor3r.exe.img 파일을 추출하였다.

strings를 이용하여 해당 파일의 문자열 추출하였다.

문자열을 보면, 바탕화면에 있는 .pdf 파일을 찾아 삭제하는 것을 알 수 있다.

해당 악성 프로세스가 종료된 시간이 UTC 시간이므로 한국 시간으로 변경 후 입력하여 UNIX Timestamp 확인하였다.

HashCalc 도구를 이용하여 MD5 해시 값을 확인하였다.

반응형
'DreamHack > WarGame' 카테고리의 다른 글
| Simple Crack Me 문제 (0) | 2026.01.07 |
|---|---|
| Track_the_file 문제 (0) | 2025.11.25 |
| find-the-spy 문제 (0) | 2025.11.24 |
| structure-based carving 문제 (0) | 2025.11.16 |
| study_checker 문제 (0) | 2025.11.14 |