#About
피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.
아래의 형식에 맞춰 증거를 수집해라.
시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))
ex) lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB))
#Solution
[그림 1] - 문제 파일 확인
해당 문제에서 제공받은 파일은 unl이라는 사용자 폴더이며 해당 문제에서 요구하는 것은 아동 청소년 법에 위배되는 파일 소지 증거를 찾는 것이다.
가장 제일 먼저 확인해보아야 할 경로는 unl\Appdata\Roming\Windows\Microsoft\Recent이며 해당 경로는 최근 실행된 파일의 링크파일이 저장되는 곳이다.
[그림 2] - 최근 실행 파일 목록 확인
해당 경로에는 s3c3r7.avi.lnk라는 파일명이 리트언어로 되어있는 의심스러운 링크파일을 하나 확인할 수 있었다
링크파일에는 생각보다 많은 아티팩트가 담기게 되는데 그 종류로는 원본 파일의 경로, 사용자 계정명,
링크파일의 생성, 수정, 작성 시간 및 원본파일의 생성, 수정, 작성 시간, 드라이브 타입, 드라이브 시리얼 번호등과 같다
따라서 해당 링크 파일을 분석하기 위해 LNK Parser를 이용할 것이며 해당 도구의 출처는 아래의 링크를 참조하길 바란다
http://forensic.korea.ac.kr/tools/lnkparser.html
[그림 3] - 파싱 된 링크파일 정보 확인
위의 결과를 통해 해당 s3c3r7.avi 파일은 unlimit라는 사용자 계정에 있었으며, 해당 계정을 가지고 있는 드라이브의 타입은
DRIVE_REMOVABLE, 즉 USB이며 USB의 고유 시리얼 넘버는 D0A8-02A9임과 원본 파일의 생성, 접근, 작성 시간을 확인할 수 있었다
인증키 = md5(H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9)
'Wargame' 카테고리의 다른 글
| [MEMORY] Root Me > Command & Control level 2 (0) | 2017.12.12 |
|---|---|
| [DISK] XCZ > Who's Notebook? (0) | 2017.12.12 |
| [MEMORY] XCZ > Memoryyyyy Dumpppppp (0) | 2017.12.11 |
| [DISK] SuNiNaTaS > Terrorist (0) | 2017.12.11 |
| [MEMORY] SuNiNaTaS > Military (0) | 2017.12.11 |