문제
풀이
해당 파일의 프로세스 구조를 살펴보았다. 살펴보다보니 아래와 같이 'iexlpore.exe' 하위에 'cmd.exe'가 실행된 모습을 볼 수 있다. 이를 통해 ie에 cmd 명령어를 이용해 악성 코드를 인젝션 한 것이라 생각하였다. 그래서 인젝션된 프로세스의 PID는 2984임을 알 수 있다.
프로세스 인젝션 공격(DDL Injection)이란?
다른 프로세스의 주소 공간 내에서 DDL을 강제로 로드시킴으로서 코드를 실행시키는 기술이다. DDL 인젝션은 외부 프로그램을 통해 다른 프로그램에 저작자가 의도하거나 예상하지 않은 영향을 미치기 위해 사용된다. 예를 들면 삽입된 코드는 시스템 함수 호출을 후킹하거나 또는 보통 방식으로는 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 잇다. 임의적인 코드를 삽입하는데 사용되는 프로그램을 DDL Injectior라고 부른다. (위키백과)
'CTF > ctf-d' 카테고리의 다른 글
| [Memory] GrrCON2015 #6 (0) | 2022.03.02 |
|---|---|
| [Memory] GrrCON2015 #5 (0) | 2022.03.02 |
| [Memory] GrrCON 2015 #2 (0) | 2022.02.14 |
| [Network] Sans Network Forensic[Puzzle 3] #1 (0) | 2022.02.09 |
| [Network] DefCoN#21 #4 (0) | 2022.02.09 |
