2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/693) B-2 문제는 DLL 형태로 정상 프로세스에 기생하는 악성코드가 네트워크 정보를 수집하기 위해 powershell 코드를 최초 실행한 시각과 powershell의 PID를 특정하는것이 목표이다. 이번문제는 다시한면 sysmon 로그를 이용해 분석한다. Sysmon 로그 분석을 아주 쉽게 하기위한 Sysmon View 라는 도구가 있다. File - Import Sysmon Event logs 버튼을 눌러 아까 추출한 xml 파일을 지정해주면 된다. import 된 sysmon 로그에서 powershell 실행흔적을 검색해서 분석해본다. 202..