[N0Named Wargame] [B] 유출된 자료 거래 사건[2]

첨부된 파일을 압축해제 해보니 vmdk 파일이 있었다.

jonnastudy.tistory.com/37

윈도우 포렌식 도구 사용법 | FTK Imager

 

FTK Imager 툴을 이용해 vmdk파일을 읽어보기로 했다.

 

파일을 입수한 경로를 찾아보면 찾기 편할 수도? 라는 힌트를 활용해보았다.

Users-nonamed-AppData경로까지는 확실하다 생각했고, 

그 다음부터는 엄~청 뒤적거리다가 Google-Chrome-User Data 폴더까지 가게 되었고 거기서 History라는 파일을 발견하게 되었다. ( 이메일로 다운을 받든, 인터넷으로 다운을 받든 어쨌든 웹브라우저를 이용했을 것이라는 판단)

다운로드 기록, 그래서 일단 컴퓨터에 복구 시켜보았다.

 

jonnastudy.tistory.com/40

윈도우 포렌식 도구 사용법 | DBbrowser for SQLite

전에 썼던 게시물 참고해보면, History 파일은 DB파일로 다운로드 기록 같은 것도 확인을 할 수 있다.

그래서 DBbrowser(SQLite) 툴을 사용해보기로 했다.

tab-url 셀을 살펴보던 중 구글 드라이브에서 다운로드한 듯한 파일 하나가 보였다.

 

FTK Imager을 이용해 해당 경로로 들어가보았지만 Confidential_Doc 파일은 찾아볼 수 없었다. (삭제된 것으로 확인)

jonnastudy.tistory.com/38

윈도우 포렌식 도구 사용법 | NTFS Log Tracker

NTFS Log Tracker 툴을 이용해 파일의 로그를 분석해보려고 한다.

$LogFile, $UsnJrnl($J) , $MFT 파일들을 추출해(두번추출해야 .copy0 파일 보임 !) 파싱해야 한다.

( 각 파일의 위치 : infosecguide.tistory.com/110 )

 

 

경로를 입력해주고, 파싱을 해준다!

 

이벤트 발생시각, 이벤트명, 파일명, 경로 등을 확인해 볼 수 있다.

그 중에서 Confidential_Doc 를 검색하면

이렇게 필터링 된다.

 

변경전 파일명 : Confidential_Doc.hwp

변경후 파일명 : todaysmemo.hwp

이름 변경 시각 : 0220.17:40:31

을 찾아내었고, 이를 이용해 플래그값을 입력하면 된다