포렌식_WEEK3_# NONamed Wargame Forensic_[c] 우리의 추억들/SWING 내부 해킹대회 출제 문제
이렇다.
저 주소로 들어가봤다.
다운로드한 뒤에 압축을 시도하니 이렇게 나온당.
pw: fun_cool_and_sexy_forensic_><
아까 주어진 비밀번호가 있다.
저 비밀번호를 넣어 주니 압축이 풀린다.
대충 안에 있는 파일들은 저렇게 되어 있다.
이제 다시 문제로 돌아가서, 문제의 목적이 뭐였는지 다시 상기해보쟈.
어떤 사진을 지웠고, 이를 복구해달라는 것이 문제의 요구였다.
Ftk imager을 사용해야겠지..???
Ad1파일도 보이니 딱일 것 같다.
열어서 확인해봤다.
휴지통이 보이길래 들어가봤다.
여러 파일들이 있당.
올
이거 외에 꽤 많은 png, jpg 파일들이 있다….
어디서 봤나 했는데 내가 저번에 요약 정리에서 정리를 했었다.
디지털 포렌식 # 5장
# Chapter 5 - 윈도우 시스템에서의 증거 수집 <삭제된 데이터> : 삭제된 데이터는 다른 데이터로 덮어써지기 전까지 그대로 남아있게 된다. ‘파일 카빙’ : 하드드라이브에서 할당되지 않은
2myona.tistory.com
여기서 한 번 썸네일에 대해 다룬 적이 있었다.
(그냥 참고...이 문제 풀이에는 그렇게 큰 영향을 주는 개념은 아니다!)
https://ko.railstoolkit.com/all-you-need-know-about-thumbnail-cache-files-windows
Windows의 썸네일 캐시 파일에 대해 알아야 할 모든 것 | 해결책
Windows 운영 체제는 이미지 및 기타 파일 유형에 대한 썸네일 캐시 파일을 생성하여 시스템에서 폴더를 빠르게로드합니다. Windows XP에서는 thumbs.db 파일이 사용되었고 이미지가 저장된 폴더에 저
ko.railstoolkit.com
이 사이트 추가적으로 참고함!
이 사이트에서는 이렇게 나와있다.
“Windows Vista부터 Microsoft는 캐시를 중앙 위치 (% userprofile % \ AppData \ Local \ Microsoft \ Windows \ Explorer)로 이동하여 thumbcache_xxx.db 파일이 저장되었습니다.
여기서 각 캐시 된 위치에 대한 정보가 포함 된 인덱스 파일도 있습니다. 이미지 버전이 있습니다.”
올
저 위치로 이동해보쟈.
올!!
근데 파일 형식이 db라서 뭘 얻어낼 수가 없당…
근데 이전 과제에서도 다뤘던 파일 확장자다!!
저번에는 사실 이 파일을 다루는 데에 실패해서 다른 방법을 찾았는데….
이번에는 정면 돌파가 필요해 보임다.
일단 요렇게 유용해보이는 파일들을 추출해서 내 컴퓨터에 저장했따.
그리구 이 파일을 열기 위해 thumb DB viewer라는 툴을 설치했당.
이릏게 여러개를 찾았다.
SWING{LONGTIME NO SEE}가 보인다.
이걸 함 넣어보자.
띄어쓰기를 안해야 맞는 값으로 쳐준당.
