1~16번 동일 문제파일 Target1-1dd8701f.vmss
vmss 파일은 vmware의 일시정지된 시스템을 저장한 파일이다. volatility를 사용하여 시스템 환경을 분석한다.
-시스템 프로파일: Win7SP1x86
이메일 주소를 찾아야하므로 사용자가 실행한 프로그램 중 이메일과 관련된 프로그램이 있는지 확인한다. 사용자 입력 커맨드를 분석(cmdline)하여 다음과 같이 마이크로소프트 오피스의 이메일 프로그램인 outlook을 실행한 흔적을 발견할 수 있다.
outlook의 pid를 이용하여 메모리를 덤프한다.
strings.exe를 사용하여 메모리 덤프 속 문자열을 추출한다.
‘@’혹은 ‘.com’을 검색하여 이메일 주소를 발견할 수 있다.
<aside> 🚩 [email protected]
</aside>