CTF/ctf-d
[Memory] GrrCON2015 #5
genie00
2022. 3. 2. 21:16
문제

풀이
재부팅 후에도 계속 실행과 관련된 레지스트리는 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 입니다.
Volatility에서 레지스트리 관련 플러그인 printkey를 사용하여 해당 레지스트리의 정보들을 찾아보았습니다.
vol.py -f <이미지 파일> --profile=<프로파일 정보> printkey -K <레지스트리 키>

앞선 문제에서의 공격자가 첨부한 파일의 이름이 'AnyConnectInstaller.exe' 였으므로 해당 파일의 경로가 적혀져 있는 곳의 key 이름이 답이 된다.