일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- NavBar
- 써니나타스
- 이진트리
- 워게임
- 웹해킹기초
- 워게임추천
- node.js
- mongoose
- 자바기초
- GIT
- 뷰
- gitbash
- 자료구조
- 자바문제풀이
- 웹기초
- materialize
- node
- 이진탐색트리
- 그래프
- 웹개발
- 포렌식워게임
- Express
- wargame.kr
- 포렌식
- bootstrap
- 웹해킹
- CTF
- 자바
- MongoDB
- nodeJS
- Today
- Total
보안 전공생의 공부
[N0Named Wargame] [B] 유출된 자료 거래 사건[2] 본문
첨부된 파일을 압축해제 해보니 vmdk 파일이 있었다.
FTK Imager 툴을 이용해 vmdk파일을 읽어보기로 했다.
파일을 입수한 경로를 찾아보면 찾기 편할 수도? 라는 힌트를 활용해보았다.
Users-nonamed-AppData경로까지는 확실하다 생각했고,
그 다음부터는 엄~청 뒤적거리다가 Google-Chrome-User Data 폴더까지 가게 되었고 거기서 History라는 파일을 발견하게 되었다. ( 이메일로 다운을 받든, 인터넷으로 다운을 받든 어쨌든 웹브라우저를 이용했을 것이라는 판단)
다운로드 기록, 그래서 일단 컴퓨터에 복구 시켜보았다.
전에 썼던 게시물 참고해보면, History 파일은 DB파일로 다운로드 기록 같은 것도 확인을 할 수 있다.
그래서 DBbrowser(SQLite) 툴을 사용해보기로 했다.
tab-url 셀을 살펴보던 중 구글 드라이브에서 다운로드한 듯한 파일 하나가 보였다.
FTK Imager을 이용해 해당 경로로 들어가보았지만 Confidential_Doc 파일은 찾아볼 수 없었다. (삭제된 것으로 확인)
NTFS Log Tracker 툴을 이용해 파일의 로그를 분석해보려고 한다.
$LogFile, $UsnJrnl($J) , $MFT 파일들을 추출해(두번추출해야 .copy0 파일 보임 !) 파싱해야 한다.
( 각 파일의 위치 : infosecguide.tistory.com/110 )
경로를 입력해주고, 파싱을 해준다!
이벤트 발생시각, 이벤트명, 파일명, 경로 등을 확인해 볼 수 있다.
그 중에서 Confidential_Doc 를 검색하면
이렇게 필터링 된다.
변경전 파일명 : Confidential_Doc.hwp
변경후 파일명 : todaysmemo.hwp
이름 변경 시각 : 0220.17:40:31
을 찾아내었고, 이를 이용해 플래그값을 입력하면 된다
'Wargame > forensic' 카테고리의 다른 글
[N0Named Wargame] [B] 유출된 자료 거래 사건[4] (0) | 2021.01.29 |
---|---|
[N0Named Wargame] [B] 유출된 자료 거래 사건[3] (0) | 2021.01.29 |
[N0Named Wargame] [C] 우리의 추억들 (0) | 2021.01.28 |
NoNaMeD wargame | infect (0) | 2021.01.21 |
N0Named Wargame magicIMAGE 문제 (0) | 2021.01.15 |