일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 모듈러 연산
- 유클리드_알고리즘
- 가명정보처리
- 한국정보보호산업협회기자단
- Writeup
- function scope
- 국가인적자원개발컨소시엄
- pwnable.tw
- 디오판투스 알고리즘
- 백엔드
- 덧셈 암호
- 동적타이핑
- node.js
- package-lock.json
- 무료교육
- 마감임박
- 한국정보보호산업협회
- 웹 프레임워크
- 개인정보보호
- 개인정보보호교육
- 한국산업인력공단
- 백엔드입문
- arrow function
- 호이스팅
- 개인정보보호위원회
- 개인정보안전성
- 포너블
- 곱셈 암호
- package.json
- 확장 유클리드 알고리즘
- Today
- Total
짱짱해커가 되고 싶은 나
[NONamed Wargame] 유출된 자료 거래 사건[2] writeup 본문
문제분석
USB로 옮겼을 것으로 의심되는 파일을 찾는 문제다.
우선, FTK로 문제vmdk 파일을 열었다.
보니까 partion 1,2,3이랑 unparitioned space가 뜬다.
각 파티션을 열어보면 partiton 3는 제대로 인식을 못하고 있다는 것을 알 수 있다. ( 파티션을 암호화했는지 의심 가능)
Partiton 2에 NONAME이라는 유저에 대한 정보가 있으니 이 파티션을 보자.
문제 힌트에서 파일을 입수한 경로를 한 번 보라고 했으니까 History 파일을 열어보자(Users/AppData/Local/Google/Chrome/UserData/Default)
다양한 활동을 했다. 구글 계정도 만들고, 구글 드라이브, G메일, 구글 지도, 유투브, veracrypt 다운로드 등
VeraCrypt - Free Open source disk encryption with strong security for the Paranoid 라고 나오는게 꽤나 수상하다.
디스크 암호화하는 툴 같은데 아마도 이걸 이용해서 Partiton3를 암호화한것 같다.
USB에 관한 것도 잔뜩 깔았다.
eM Client도 사용했는데 윈도우랑 맥용 이메일 프로그램이다.
구글 드라이브에서 Confidential_Doc.hwp 라는 파일을 다운 받았다.. 이름부터 기밀!
다운로드 항목을 보면 setup.msi 는 eM Client 설치 파일이고, confidential_Doc.hwp랑, VeraCrypt도 설치한 걸 볼 수 있다.
로그파일을 확인해보기 위해서 $LogFile, $MTF, $UsnJrn:$J 와 같은 파일을 찾아보자.
일단 root 폴더에 있는 로그파일, MTF 파일을 추출하고 Extend 파일에 있는 UsnJrn도 추출한다.
NTFS에서 파스했는데 search가 안되서 CSV로 추출했다.
Confidential을 찾아보니까 만들고 지우고 이름도 바꿨다.
todaysmemo.hwp로 바꾼 것을 확인할 수 있다.
그럼 이제 문제에 필요한 변경 전 이름 + 변경 후 이름 + 바뀐 시간 까지 모두 알아냈다
'forensic' 카테고리의 다른 글
[NONamed Wargame] 유출된 자료 거래사건[4] writeup (0) | 2021.02.11 |
---|---|
[NONamed Wargame] 유출된 자료 거래사건[3] writeup (0) | 2021.02.11 |
06. 안티 포렌식 (0) | 2021.01.31 |
[NONamed Wargame] 우리의 추억들 Writeup (0) | 2021.01.30 |
05. 인터넷과 이메일 포렌식 (0) | 2021.01.23 |