Test

#About

주어진 바로 가기 파일을 종합적으로 분석하여 관리자(Administrator)외의 사용자 계정을 알아내시오.

(대소문자 구분 없이 입력)

#Solution

[그림 1] - 문제 파일 확인

해당 문제에서 제공받은 폴더에는 85개의 바로 가기 파일이 있었으며, 분석을 위해 LNK Parser를 사용하였다

[그림 2] - 관리자외의 사용자 계정 확인

Machine ID에서 leech-75bbda31c라는 관리자로 추측되는 계정을 확인할 수 있었으며, 파일 경로를 기준으로 정렬했을 때

C:\Documents and Settings\drone1013\바탕 화면\Pi.RTF 이라는 경로에서 사용자 계정 drone1013을 확인할 수 있었다

C:\Documents and Settings\<Username>은 Windows XP 버전에서 사용하는 사용자 계정이 존재하는 경로이며

Windows XP 이후 버전에서는 C:\Users\<Username>이라는 경로를 사용한다

Answer = drone1013

#About

주어진 바로가기 파일이 가리키는 대상이 저장된 볼륨의 볼륨 일련 번호를 구하시오

(입력 형식 : XXXX-XXXX)

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공 된 폴더를 열었을 때, 웹 브라우저인 Mozilla Firefox의 바로 가기 파일이 하나 존재 함을 확인했다

곧 바로 볼륨 일련 번호를 알기 위해 010 Editor를 이용, 볼륨 일련 번호를 확인할 수 있었다

[그림 2] - 볼륨 일련 번호 확인

또한 도구마다 구조를 파싱함에 있어 방식이 다르다거나 값의 차이가 다를 수 있으므로 확실한 검증을 위해 다른 도구인 Lnk Pasrer로도 확인을 했다

[그림 3] - 볼륨 일련 번호 재 확인

Answer = 600F-351D

[+] NTFS 파일시스템에서의 볼륨 일련 번호 확인

문제 풀이와는 직접적인 관련이 없는 내용이지만 기억하고 있는 것을 다시금 뚜렷히 하기 위해 언급을 진행한다

볼륨 일련 번호가 적힌 부분은 NTFS 파일시스템 상에서의 VR영역이며 오프셋 0x48~0x4F에 위치한다

윈도우 커맨드 창에서 아래와 같이 dir 명령어를 적으면 볼륨 일련 번호를 확인할 수 있으며 아래에서는

볼륨 일련 번호를 오프셋 0x48~0x4B의 값을 리틀엔디언으로 읽으면 되지만 볼륨 일련 번호 생성 규칙은 일정하지 않으므로 

0x48~0x4F 내의 다른 오프셋의 값을 읽어야할 수도 있다 ( 2017년 3월, 여러대의 컴퓨터에서 확인 결과 불규칙적이었음 )

[그림 4] - 볼륨 일련 번호 확인

[ + ] TIP

볼륨 일련 번호를 확인하기 위한 명령어로 dir은 더불어 현재 디렉터리에 있는 파일까지 전부 보여주게 되며, 파일이 많은 경우 

볼륨일련 번호를 보기 위해 cmd의 스크롤을 위로 올려야 하지만,아래와 같이 명령어 vol을 입력해주면 깔끔하게 볼륨 일련 번호만 출력된다

[그림 5] - 명령어 vol

#About

주어진 바로 가기 파일들이 가리키는 대상들 중 숨김 속성을 가진 것의 크기는 몇 바이트인가

(단위 생략, 10진법으로 아라비아 숫자만 작성)

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공 받은 폴더에서 10개의 바로 가기 파일을 확인 했으며 이 중, 문제에서 제시하는 숨김 속성을 가진 것을 확인하기 위해 

이전 문제에서 사용했던 도구인 010 Editor를 이용하여 숨김 속성을 가진 파일을 확인할 수 있었다

[그림 2] - 숨김 속성 확인

위의 숨김 속성을 가진 파일을 확인 후 문제에서 요구하는 파일 사이즈를 찾기 위해 링크 구조에서 

공통적으로 원본 파일의 사이즈가 적혀있는 오프셋인 0x34~0x37에서 파일 사이즈를 확인할 수 있었다

[그림 3] - 숨김 속성을 가진 파일의 사이즈 확인

Answer = 1496