728x90
👾 Description
피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.
아래의 형식에 맞춰 증거를 수집해라.
시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))
ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB))
먼저 다운받은 파일을 FTK Imager로 열어본다.
파일이 많다.
Recent 폴더 안에 ‘s3cr7.avi.lnk’가 있다. 아동 청소년 보호법에 위배되는 파일처럼 보인다.
LNK 파일이란?
LNK 파일은 원본 이미지 문서 폴더 또는 프로그램에 대한 연결 역할을 하는 Windows 대안 또는 “링크"다. 여기에는 바로 가기 대상의 유형, 위치 및 파일 이름과 대상 문서를 여는 응용 프로그램 및 추가 바로 가기 키가 포함된다.
원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼을 찾기 위해 010 Editor를 이용하겠다.
| 원본 경로 | LocalBasePath | H:\study\s3c3r7.avi | |
| 만들어진 시간 | CreationTime | 10/16/2013 04:52:10 UTC | 10/16/2013 13:52:10 |
| 마지막 실행된 시간 | AccessTime | 10/16/2013 14:24:50 UTC | 10/16/2013 23:24:50 |
| 쓰인 시간 | WriteTime | 10/16/2013 10:37:47 UTC | 10/16/2013 19:37:47 |
| 볼륨 시리얼 | DriveSerialNumber | 3500671657 | D0A8-02A9 |
- UTC = GMT, 따라서 +9시간 해줬다.
- 볼륨 시리얼 넘버는 대상 파일의 위치 앞에 있는 10 hex 값 앞의 4바이트이다.이때 리틀 엔디안 방식으로 저장되어 있기 때문에, D0부터 읽어주어야 한다.
H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9
→ MD5 해시값 : 66f67cd42c58763fd8d58eed6b5bfdba
flag : 66f67cd42c58763fd8d58eed6b5bfdba
728x90
'공부 > 포렌식 (Forensics)' 카테고리의 다른 글
| [드림핵 | 포렌식] 써니나타스 포렌식 14번 (0) | 2023.11.24 |
|---|---|
| [드림핵 | 포렌식] Windows Search (0) | 2023.11.23 |
| [xcz.kr | Forensics] Prob35 write up (0) | 2023.11.23 |
| [xcz.kr | Forensics] Prob27 write up (2) | 2023.11.23 |
| [드림핵 | 포렌식] Snowing! (0) | 2023.10.06 |