시나리오 #1 mft 분석 이전 시나리오 #1에서 svcnet의 악성 실행파일이 있었다. 이 시나리오에서 수집한 mft파일을 csv로 추출하기 위해 다음과같은 명령어를 사용한다. File Name정보를 생성날짜를 기준으로 오름차순하여 정렬한다. svcnet이 다운받아졌던 시간과 경로이다. svcnet이 다운받아졌던 시간보다 더 이전에 보면 zone.Identiier가 있다. 이것은 이후 여러가지 이미지가 생성됐다. 그런데 jpg인줄알았던게 알고보니 마지막에 exe로 수상한 실행파일이 다운받아졌다. 그래서 이걸 실행시켰더니 svcnet.exe가 나타났겠구나 유추 할 수 있다. pf확장자는 prefetch 파일이다. 어떠한 실행파일을 실행시켰을 때 흔적을 남기는 파일이다. [pf내에 들어가는 내용] 응용프로..