#About
당신은 현재 외부 저장매체를 통한 정보 유출 흔적 분석을 의뢰 받은 상태이다. 주어진 파일은 레지스트리 파일 뿐이며, 해당 파일을 통해 다음 정보를 획득하시오..
1. 해당 컴퓨터의 타임존(영문 대문자)
2. 해당 컴퓨터에 연결된 적 있던 외부 저장매체의 시리얼 넘버
3. 해당 외부 저장매체의 최초 연결 시각
*3번 문항의 시간은 (YYYY-MM-DD hh:mm:ss (1번 문항의 답 타임존 기준)
답 포맷 : [1번 답]_[2번 답]_[3번 답]
Ex: KST_44C931129383892_2016-10-11 11:11:11
#Solution
[그림 1] - 문제 파일 확인
레지스트리 하이브에 속하는 파일들을 확인했으며 하이브란 레지스트리 정보를 저장하고 있는 물리적인 파일이다
레지스트리는 포렌식에 있어 운영체제 정보, 시스템 정보, 응용프로그램 실행흔적, 최근접근문서, 자동실행항목, 저장매체사용흔적
등과 같은 여러가지 하드웨어 및 소프트웨어의 설정 값들이 저장되어 있으며, 때문에 분석에 있어 중요한 아티팩트가 된다
아래는 레지스트리 분석 도구인 REGA를 사용했으며 도구의 출처는 아래 링크를 참고하길 바란다
http://forensic.korea.ac.kr/tools/rega.html
[그림 2] - REGA 실행
위 그림은 문제를 해결함에 있어 필요한 레지스트리 하이브 파일인 SYSTEM을 REGA에 올려 둔 상태이며
문제에서 첫 번째로 요구하는 해당 컴퓨터의 타임존은 아래의 경로에서 확인할 수 있다
[그림 3] - 해당 컴퓨터의 타임존 확인
타임존은 동부 표준 시각을 의미하는 EST 이며 2번, 3번 문제를 해결함에 있어 필요한 시간과 맞추기 위해 아래와 같이 시스템의 시간대를 수정해주었다
[그림 4] - 타임존 설정 (EST)
위와 같이 타임존을 설정 해준 뒤, 문제에서 두 번째로 요구하는 외부 저장매체의 시리얼 넘버는 아래의 경로에서 확인할 수 있었다
[그림 5] - 외부 저장매체의 시리얼 정보 확인
해당 시스템에 연결되었던 외부 저장매체의 고유 시리얼 번호는 4C532000021221119534인 것을 확인했으며
[그림 5]의 키 속성에서 최초 연결 시각이 2016-10-23 02:35:06임을 확인할 수 있다
또한 REGA에서는 외부 저장 장치의 연결 정보를 한눈에 보여주는 기능이 있으며 아래와 같이 외부 저장 장치의 연결 흔적을 모두 확인할 수 있다
[그림 6] - 외부 저장장치 연결 정보 확인
그 중, 드라이브 문자 E를 가지는 외부 저장장치의 시리얼 번호인 4C532000021221119534의 연결시각 또한 확인할 수 있다
Answer = EST_4C532000021221119534_2016-10-23 02:35:06
'Wargame' 카테고리의 다른 글
| [Cresendo] Hidden File Problem 01 (0) | 2017.11.15 |
|---|---|
| [Cresendo] Stego Problem 01 (0) | 2017.11.14 |
| [Cresendo] NTFS Log 1 (0) | 2017.11.14 |
| [Cresendo] 오늘은 국군의날 (0) | 2017.11.14 |
| [Cresendo] MFT Problem 01 (0) | 2017.11.13 |