메모리 포렌식 문제다. 첨부된 파일의 압축을 풀면 xczprob2 파일이 있다. 이 파일을 volatility로 분석하자.
imageinfo 플러그인을 이용해서 덤프파일의 이미지 정보를 확인하자. (WinXPSP2x86)
psxview 플러그인을 사용해 숨겨진 프로세스가 있는지 확인했다. pslist에서는 확인이 불가능하지만, psscan에서 확인이 되는 nc.exe가 숨겨져서 실행이 되었음을 알 수 있었다.
마찬가지로 nc.exe가 실행된 것을 확인할 수 있다. Key의 형식은 "Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years" 이므로, Port number를 제외한 나머지 정보는 알아냈다.
해당 운영체제는 Windows XP이므로 네트워크 연결 정보를 확인하기 위해 connscan 플러그인을 사용해 확인했다. PID가 1124인 nc.exe가 80번 포트로 나간 것을 확인할 수 있다.
따라서 키 값을 형식에 맞게 구하면 **"nc.exe_1124_80_Fri-Nov-02-09:06:48-2012"**가 된다.