파일 용량이 음청 크당 호달달ㄹ
저번 과제처럼 또 시각을 찾아보는 문제당.
저번처럼 최종적으로는 프리패치 파일을 이용해야 할 것 같기도 하구…?//
일단 파일 안에는 이런 파일이 있당.
또 ftk imager로 열어봤땅.
문제에서 파일을 입수한 경로를 찾아보라고 말했으니까 그걸 중점적으로 보자.
엄청난 경로를 거쳐서 드디어 유용한 파일을 찾았다.
이걸 추출해서 살펴보자.
지난번 과제를 하며 깔아둔 DB 뭐시기를 이용해서 파일을 분석해보쟈.
이 중에서도 ‘경로’를 찾아야 되니 url로 들어가보자.
엄청 많다….
여기서 뭔가 수상한 기록을 찾아야하는데 다 수상해보인다..
Confidential_Doc 기억해두자.
NTFS Log Tracker -blueangelf
요걸 다운 받아서 더 살펴보쟈.
파일 삭제 흔적 찾기 (NTFS) #nagoona
이걸 왜 했냐면? 공격자가 파일을 지우는 방법이 몇가지 있는데 이와 관련하여 확인할 수 있는 아티팩트가 궁금했었다. 이를 윈도우에서 특히 많이 쓰이는 파일시스템인 NTFS에서 사용되는 아티
two2sh.tistory.com
요 사이트를 참고!
이 세개를 추출했다.
이거를 살펴보자.
이렇게 아까 Confidential_Doc를 다시 찾아볼 수 있다.
"Confidential_Doc" 이 단어를 기준으로 검색을 해서 결과를 얻어낼 수 있었다.
요걸 찾았따 todaysmemo!!
정말 짜증나게 여기서 저 시간이 다 안보여서...
(컴퓨터 화면 배율이 안맞는지....자꾸 시간 초부분은 잘려보이ㅣ더라구..)
DB Browser 뭐시기에서 다시 확인했다….
근데 이거는 얼마 안걸린다!
그냥 문제의 답 검토 과정 중 하나로 생각하고 이 과정을 해보는 것도 나쁘진 않은 것 같다.
앞에서 다른 방법들로 얻었던 정보들도 DB에서 또다시 찾아볼 수도 있었당.
DB에서도 검색 기능을 통해서 빠르게 답을 얻어낼 수 있당.
증맬 화났다……
처음엔 파일명에 확장자를 빼고 써주니 안됐었당….
결국 성공
NND{Confidential_Doc.hwp_todaysmemo.hwp_0220.17:40:31}
'포렌식 > NONamed Wargame' 카테고리의 다른 글
| 포렌식_WEEK3_NONamed Wargame Forensic_# [b] 유출된 자료 거래 사건 [4] (0) | 2021.02.08 |
|---|---|
| 포렌식_WEEK3_# NONamed Wargame Forensic_[b] 유출된 자료 거래 사건 [3] (0) | 2021.02.08 |
| 포렌식_WEEK3_# NONamed Wargame Forensic_[c] 우리의 추억들/SWING 내부 해킹대회 출제 문제 (0) | 2021.02.08 |
| 포렌식_WEEK1_# NONamed Wargame Forensic_[A] 입사테스트 [2] (0) | 2021.02.05 |
| 포렌식_WEEK1_# NONamed Wargame Forensic_magic IMAGE (0) | 2021.02.04 |
