Test

#About

피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.

아래의 형식에 맞춰 증거를 수집해라.

시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))

ex) lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB))

#Solution

[그림 1] - 문제 파일 확인

해당 문제에서 제공받은 파일은 unl이라는 사용자 폴더이며 해당 문제에서 요구하는 것은 아동 청소년 법에 위배되는 파일 소지 증거를 찾는 것이다. 

가장 제일 먼저 확인해보아야 할 경로는 unl\Appdata\Roming\Windows\Microsoft\Recent이며 해당 경로는 최근 실행된 파일의 링크파일이 저장되는 곳이다.

[그림 2] - 최근 실행 파일 목록 확인

해당 경로에는 s3c3r7.avi.lnk라는 파일명이 리트언어로 되어있는 의심스러운 링크파일을 하나 확인할 수 있었다

링크파일에는 생각보다 많은 아티팩트가 담기게 되는데 그 종류로는 원본 파일의 경로, 사용자 계정명, 

링크파일의 생성, 수정, 작성 시간 및 원본파일의 생성, 수정, 작성 시간, 드라이브 타입, 드라이브 시리얼 번호등과 같다

따라서 해당 링크 파일을 분석하기 위해 LNK Parser를 이용할 것이며 해당 도구의 출처는 아래의 링크를 참조하길 바란다

http://forensic.korea.ac.kr/tools/lnkparser.html

[그림 3] - 파싱 된 링크파일 정보 확인

위의 결과를 통해 해당 s3c3r7.avi 파일은 unlimit라는 사용자 계정에 있었으며, 해당 계정을 가지고 있는 드라이브의 타입은 

DRIVE_REMOVABLE, 즉 USB이며 USB의 고유 시리얼 넘버는 D0A8-02A9임과 원본 파일의 생성, 접근, 작성 시간을 확인할 수 있었다

인증키 = md5(H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9)