Digital forensic challenge 301번 분석

volatility2

- tip! 프로세스 순서가 엉켜 있다면 인위적인 프로세스이다

 

1. 이미지가 만들어질 때 날짜와 시간? >> 사용시간

SystemTime      2011-05-18 17:27:48

 

어떤 os를 사용하고 있는가?

지금 작동하고 있는 윈도우os랑 비교

2. os 종류 windows xp Kernel Base     0x804d7000

 

3. 사용된 시스템 프로세스

* N/A는 "Not Available"의 약자로, "사용할 수 없음" 또는 "데이터 없음"을 의미합니다.

 

첫 번째 몇 줄의 표는 시스템 프로세스, 예를 들어 System, smss.exe, csrss.exe를 보여줍니다. 이러한 프로세스는 운영 체제를 시작하고 시스템의 기본 기능을 관리하는 역할을 합니다.

 

표의 다음 몇 줄은 사용자 모드 프로세스, 예를 들어 winlogon.exe, services.exe, lsass.exe를 보여줍니다. 이러한 프로세스는 사용자의 응용 프로그램과 서비스를 실행하는 역할을 합니다.

 

표의 마지막 몇 줄은 시스템에서 실행 중인 다른 프로세스 중 일부를 보여줍니다. 예를 들어 wscntfy.exe, explorer.exe, msimn.exe입니다. 이러한 프로세스는 VMware 가상화 소프트웨어와 관련이 있습니다

 

wscntfy.exe 구글 검색 결과

https://www.neuber.com/taskmanager/process/wscntfy.exe.html