[xcz.kr | Forensics] Prob22 write up

📎 http://xcz.kr/START/challenge.php
 
👾 Title
Who's Notebook?
 
👾 Description

내 친구 A는 어느날 출근길에 누군가 잃어버린 것 같은 노트북을 발견한다.
A는 이 노트북을 주인에게 찾아주고 싶지만 찾을 방법을 몰라서 포렌서인 나에게 노트북을 맡기게된다.
이 노트북의 주인을 찾아주자.
인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지
인증키는 모두 대문자로, 띄어쓰기무시
예) PLACE1_PLACE2_PLACE3

 

---

 
먼저 문제에 첨부된 파일을 다운로드한다.
 

notebook

‘notebook’ 이라는 파일이 생성된 것을 확인할 수 있다.
 
확장자가 따로 없어 HxD를 이용해 파일 시그니처를 확인한다.

 

• HxD는 이진 파일을 읽는 무료 에디터 프로그램으로, 주로 사용되는 기능은 파일이나 이미지의 특정 섹터를 확인하거나 수정할 때 사용한다.
• 파일 시그니처란 파일 형식마다 가지고 있는 고유의 특징(포맷)에 대한 정보를 뜻한다. 보통 파일의 가장 처음(헤더 시그니처)이나 가장 마지막(푸터 시그니처)에 존재한다.
• 헤더 시그니처와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 높다.
• 파일 시그니처는 손상된 파일을 복구하거나 파일 안에 있는 숨겨진 내용을 파악하는 포렌식 분야에서 활용된다.

 

HxD를 이용해 파일 시그니처 확인

→ ADSEGMENTEDFILE
 
Q. AD SEGMENTED FILE이라는 파일 시그니처가 뭘까?
A. AD SEGMENTED FILE은 Access Data에서 지원하는 파일 포맷으로 FTK Imager로 만든 파일이다.
 

• FTK Imager는 포렌식 도구 중 하나로, FTK Imager를 사용하면 활성 장치의 메모리에 저장된 암호 또는 기타 데이터를 복구하기 위해 활성 장치에서 메모리 캡처 또는 레지스트리 캡처를 수행할 수 있다.

 

확장자를 변경해 파일 이름을 notebook.ad1으로 지정해주고 FTK로 연다.
 

확장자를 ad1으로 변경

FTK를 이용해 notebook.ad1 열기

 

여러 파일이 있는데, 그중 Desktop 폴더 아래 '6095485345'라는 파일이 눈에 띈다. 'Created/Modified by using GPS Route Editor'라고 중간에 써져 있고, "http://www.gpsnote.net" 링크가 첨부되어 있다. 밑에 위도, 경도 정보가 있는 것도 확인 가능하다.

 

인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지

 
문제 설명에 명시된 것처럼 인증키 형식이 장소인 것을 고려하면 이 파일을 분석해보면 좋을 것 같다.
 
중간에 적힌 http://www.gpsnote.net 링크로 접속해 GPS Route Editor라는 프로그램을 다운로드한다.
 

 
GPS ROUTE EDITOR는 GPS 트랙 로그파일을 생성/편집할 수 있는 프로그램이다.
 
GPS ROUTE EDITOR를 다운받는 동안 FTK Imager에서 "6095485345" 파일을 추출해준다.
 

Export_Files

 

GPS ROUTE EDITOR는 gpx 확장자로 실행되기 때문에 추출한 파일의 확장자를 gpx로 변경해준다.
 

6095485345 확장자 변경 전

609548534 gpx로 확장자 변경

 
GPS ROUTE EDITOR로 "609548534.gpx"을 연다.
 
지도가 나타나는데, 확대를 한 후 이를 분석한다.
 

 
공덕에서 출발해 김포국제공항을 지나 제주도로 도착하는 것을 확인할 수 있다. 하지만 이 문제를 만들 당시 지도에서 최종 위치가 7-ELEVEN이었기 때문에 정답은 'GONGDEOK_GIMPOINTERNATIONALAIRPORT_7-ELEVEN' 이라고 한다.
 
flag {GONGDEOK_GIMPOINTERNATIONALAIRPORT_7-ELEVEN}