Test

[ * ] 문제 확인

판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다.  현재 용의자의 시스템을 조사하는 중이다.  용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다.  용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오.

[ * ] 해결 방향

해당 사건의 핵심은 용의자의 “인터넷 사용 패턴”이고, 문제에서 요구하는 것은 가장 많이 접근 했던 사이트의 URL과 해당 URL 접근 시간이기 때문에 용의자가 주로 사용한 인터넷 웹 브라우저를 파악하고, 해당 웹 브라우저의 History 정보가 담겨 있는 파일을 찾아 분석하면 될 것 같다

[ * ] 해결 과정

먼저 주어진 2012_Secuwave F200.7z 파일의 압축을 풀어주게 되면 아래와 같이 윈도우 사용자 계정 폴더가 주어지고 “7ester”라는 용의자가 사용하던 계정으로 추측되는 폴더를 볼 수 있다

“7ester”라는 사용자 폴더를 분석하기 전 알아야 할 선행 지식은 “웹 브라우저 아티팩트”이기 때문에 웹 브라우저 아티팩트에 대해서 정리를 해보았고 주요 웹 아티팩트는 다음과 같다

1.     웹 브라우저 히스토리 à 접속 사이트 URL, 접속 시간, 접속 횟수, 접속 페이지 정보 등의 정보 획득 가능  

2.     웹 브라우저 다운로드 à 파일 저장 경로, 저장 시간, 파일 크기, 다운로드 소스 URL, 다운로드 성공 여부 등의 정보 획득 가능

3.     웹 브라우저 쿠키 à 호스트, 경로, 방문 횟수, 마지막 접근 시간, 쿠키 만료 시간 등의 정보를 획득 가능

4.     웹 브라우저 캐시 à 아이콘, 이미지 파일, 텍스트 파일, HTML파일, 스크립트 파일 등의 정보 획득 가능

용의자가 사용했던 브라우저를 확인 하기 위해 공통적으로 해당되는 경로인 “%UserProfile%\App
Data\Local”을 탐색했고 결과는 아래와 같다

해당 폴더에는 웹 브라우저인 Internet Explorer 밖에 찾을 수 없었기에 용의자가 사용한 웹 브라우저는 Internet Explorer라고 판단하고 해당 웹 브라우저의 아티팩트를 분석하기 위해 적당한 분석 도구인 IEAnalyzer10를 사용했다 

[ * ] 도구 참고 : http://moaimoai.tistory.com/45 , http://moaistory.blogspot.kr/2016/07/internet-explorer-10-microsoft-edge.html

아래는 IEAnalyzer10을 실행 한 화면이며 File, Tool, Help의 총 세 개의 탭을 확인할 수 있다

File탭의 Open에서 분석에 필요한 Internet Explorer의 아티팩트가 있는 경로를 설정해 줄 수 있다

경로를 설정해 준 뒤 해당 문제에서 요구하는 시간대와 같은 UTC+9로 설정을 해주었다

시간대 설정을 완료 후, 아래 사진의 왼쪽 편에 나타나는 탭 중 History 부분을 보면 아래와 같은 Internet Explorer의 사용기록이 나오며, 해당 History 탭에서 얻을 수 있는 목록 중 문제에서 요구하는 가장 많이 접속한 URL과 마지막 접속 시간이 목록에 해당함을 확인했다

가장 많이 접속한 수를 알면 그에 해당하는 URL과 마지막 접속시간을 모두 알 수 있는 레코드가 나오기에 AccessCount를 기준으로 탐색 결과, 접속 회수가 519가 가장 큰 것임을 알 수 있었고 해당 레코드를 체크 해둔 부분이 해당 문제에서 원하는 답임을 알 수 있다. 

가장 많이 접근했던 사이트의 URL = http://www.hanrss.com

해당 URL에 마지막으로 접근한 시간(UTC+09:00) = 2012-08-30 14:59:43