zj3t

volatility 도구는 메모리 덤프파일을 분석하는 툴이라고 합니다.
저도 포렌식 공부는 워게임 이외에 다른걸 많이 해보지 않아서 검색으로 알아냈습니다.



psxview 는 psscan과 pslist로 조합 된 명령이라고 합니다.
이 명령으로 윈도우에서 은페기능으로 동작하는 프로세스를 찾아 낼 수가 있다고 합니다.

psscan: 실행중인 프로세스 ㅏ
pslist: 실행 중인 프로세스 나열
psxview: psscan과 pslist 중 하나라도 False가 나온다면 은폐 된 프로세스로 의심 된다고 합니다.




pstree로 실행 중인 프로세스의 상관관계를 보니 cmd.exe를 자식프로세스로 실행하고 있었습니다.


connections 명령을 주면 네트워크 접속 목록 등의 정보 등을 볼 수 있습니다.

같은 카페라고 하니, 피해자와 같은 로컬에 있을 것이라고 생각했습니다.

nc.exe_1124_80_Fri-Nov-02-09:06:48-2012

Fri-Nov 이 부분은 명령으로 나오지 않아서 달력으로 해당하는 날짜를 찾아서 인증하였습니다.