#About
크레센도 그룹의 보안담당자 B씨는 최근 인사팀으로 부터 근무태만 혐의가 있는 직원에 대한 감사 요청 및 해당 직원 PC의 프리패치 폴더를 전달받았다. 인사팀은 해당 직원이 일과 시간에 일은 안하고 다른 짓(게임 등)을 하는지, 혹은 접근 권한이 없는 문서 파일에 접근한 흔적이 없는지 확인해주기를 요청했다. 발견된 흔적은 내부 징계 처리에 사용될 것이다.
주어진 프리패치 폴더에서 다음과 같은 내용을 확인하시오:
1. 해당 시스템에서 압축 해제된 "압축 파일" 이름
2, 1번 문항의 압축 프로그램 프리패치에서 확인 가능한 압축에 사용된 PDF 파일 수
3. 직원 PC에서 실행된 적 있는 윈도우 기본 게임 실행 파일 명
(실행 카운트가 확인되는 실행 파일 전부, ABC순, 띄어쓰기 제외)
답 포맷 : [1번 답]_[2번 답]_[3번 답]
Ex) : TEST.ZIP_4_STARCRAFT.EXE_ZEROPIKA.EXE
#Solution
[그림 1] - 문제 파일 확인
해당 문제 파일을 확인했으며 위 프리패치 파일들을 분석하기 위한 도구인 WinPreftchView을 사용 했으며 출처는 아래 주소이다
http://www.nirsoft.net/utils/win_prefetch_view.html
[그림 2] - WinPrefetchView UI
WinPrefetchView를 실행했을 때의 유저 인터페이스이며, 해당 도구에서 확인할 수 있는 것은 파일 이름, 생성시간, 수정시간,
파일 크기, 실행 파일 프로세스 이름, 프로세스 경로, 실행 횟수, 마지막 실행 시간, 프로세스 누락 여부, 참조 목록을 확인할 수 있다
해당 문제에서 1,2번에서 요구하는 것이 압축이라는 키워드로 같으므로 압축관련 프리패치 파일을 아래와 같이 확인 했다
[그림 3] - 반디집 실행 흔적 확인
압축 관련 프로그램인 반디집 프리패치 파일에서 1,2번 문제에서 요구하는 사항을 찾을 수 있었으며
WORK DOCUMENT.ZIP 파일이 압축 해제되었다는 증거가 될 수 있는 것은 PDF 파일의 전체 경로를 확인 후 알 수 있었다
다음으로 3번에서 요구하는 문제인, 실행흔적이 있는 윈도우 기본 게임의 목록을 얻기 위해 검색 도중 아래의 블로그에서 얻을 수 있었다
http://neorocal.tistory.com/267
블로그에서 얻은 윈도우 기본 게임 목록 기반으로 찾아 보았더니 아래와 같이 실행 흔적을 발견할 수 있었다
[그림 4] - 윈도우 기본 게임 체스
[그림 5] - 윈도우 기본 게임 Solitaire
인사팀으로 부터 받은 직원의 PC에서는 런던대학교 인적자원관리, 캠브릿지대학 인적자원관리, 샌디에이고 주립대 금융서류,
아이오와 주립대 금융서류에 관한 PDF 파일이 담긴 압축 파일을 해제한 흔적이 확인되었으며
윈도우 기본게임에 해당하는, 체스는 2016-10-13 오후 1:25:37에 실행되었으며 Solitaire는 2016-10-14 오후 12:09:24에 실행되었다
Answer = WORKDOCUMENT.ZIP_4_CHESS.EXE_SOLITAIRE.EXE
'Wargame' 카테고리의 다른 글
| [Cresendo] Event Log Problem 01 (0) | 2017.11.05 |
|---|---|
| [Cresendo] Prefetch Problem 03 (0) | 2017.11.05 |
| [Cresendo] Prefetch Probelm 01 (0) | 2017.11.04 |
| [Lord of SQL Injection] Dragon (0) | 2017.11.02 |
| [Lord of SQL Injection] Xavis (0) | 2017.11.02 |