#About
크레센도 그룹의 보안담당자 A씨는 최근 사내 기밀 문서 유출이 의심되는 용의자 D씨의 컴퓨터를 확보했다. 그러나 이미 해당 PC에서 기밀 문서는 삭제 된 것으로 보인다.
주어진 파일로부터 다음의 정보를 획득하시오:
1. 기밀 문서로 추정되는 삭제된 파일 이름
2. 해당 파일의 삭제 추정 시간
답 포맷 : [1번 정답]_[2번 정답]
Ex : Confidential.docx_2016-01-22 17:22:11
#Solution
[그림 1] - 문제 파일 확인
MFT는 Matser File Table을 의미하며 NTFS 파일시스템 상에서 메타데이터를 지니고 있으며 MFT 파일을 분석하면
NTFS 내에 존재하는 모든 파일 및 디렉터리의 파일 이름, 시간 정보, 크기등과 같은 메타정보를 얻을 수 있다
MFT 파일을 분석하기 위해 Python 기반 CLI 도구를 이용했으며 출처는 아래의 링크를 참고하자
https://github.com/dkovar/analyzeMFT
[그림 2] - MFT Parser
f 옵션을 통해 파일의 경로지정과 o 옵션을 통해 결과 파일을 csv로 출력했으며 결과는 아래와 같다
[그림 3] - MFT 구조 분석 결과 확인
64,520개의 레코드가 확인되었으며 일일이 확인할 수 없으므로 주어진 지문에서 유추할 수 있듯 문서파일이 될 수 있는 확장자인
pdf , xlsx, hwp, pptx, rtl 등을 기준으로 검색해보았고 아래와 같이 기밀 문서로 짐작되는 파일을 확인할 수 있었다
[그림 4] - 기밀 문서 확인
Answer = High Confidential_AlphaMikeFoxtrot.pdf
'Wargame' 카테고리의 다른 글
| [Cresendo] NTFS Log 1 (0) | 2017.11.14 |
|---|---|
| [Cresendo] 오늘은 국군의날 (0) | 2017.11.14 |
| [Cresendo] WER Problem 03 (0) | 2017.11.13 |
| [Cresendo] WER Problem 02 (0) | 2017.11.13 |
| [Cresendo] WER Problem 01 (0) | 2017.11.13 |