문제를 읽어 보도록 하겠습니다.
<해결 해야 할 문제>
1. 가장 많이 접근한 사이트의 URL
2. 가장 많이 접근했던 사이트의 접근 시간
주어진 파일을 FTK Imager로 마운팅 해보겠습니다.
마운팅을 하면 Users가 하나 나옵니다. 근데 URL을 구해라고 했으니까 인터넷 웹 브라우저 히스토리일것을 추측하고 어떤 웹 브라어저를 사용했는지 한번 찾아봐야 합니다.
아무리 찾아도 크롬, 엣지, 웨일, 파이어폭스 등등의 웹 브라우저는 보이지 않지만...윈도우 익스플로러만 보입니다. 막간을 이용해서 Windows internet Explorer History가 남는 경로를 보겠습니다.
이렇게 표로 분류가 될 수 있는데요, 다시 문제를 살펴보겠습니다.
Users폴더안에 username으로 불릴만한게 7ester폴더밖에 없습니다. 그럼 경로를 따라 가보겠습니다.
요렇게 경로를 따라 가시면 됩니다.
Users\7ester(username)\AppData\Local\Microsoft\Windows\WebCache\WebCacheV24.dat
이제 WebCacheV24.dat 파일을 추출을 하게 되면, 이런 파일이 하나 나옵니다.
WebCacheV24.dat에서 대해서 알아보겠습니다.
먼저 Windows Explorer는 현재는 그렇게 유용하게 사용하는 브라우저는 아니지만, 몇 년 전까지만 해도 누구나 사용하던 인터넷 브라우저였습니다. 그래서 디지털 포렌식 관점에서 브라우저에 생성 되는 아티팩트들을 연구가 진행되어 왔습니다.
먼저, Internet Explorer는 현재 11버전입니다.
하지만 IE 9이전 버전과는 아티팩트 경로가 달라 설명을 좀 하겠습니다.
IE 9 이전 버전의 IE는 현재는 잘 안쓰는 Windows 7에 기본적으로 포함되어 있었습니다. IE는 쿠키, 히스토리 같은 아티팩트들을 index.dat 파일에 저장을 해두었습니다. 하지만 Windows 8부터 IE10이 등장하였고 현재 IE11까지 쭉 이어 왔었습니다. IE10이 등장하고 난 후로는 index.dat파일이 아니라 WebCacheV01.dat이나 WebCacheV24.dat처럼 하나의 파일로 통합시켜 아티팩트를 저장합니다. WebCacheV24.dat 파일은 ESEDB(Extensible Storage Engine Database File) 파일 형식으로 이루어져 있으며, hxd에디터로 열면 0x04~0x07까지 시그니처가 존재하는데, 0x,EFCDAB89로 빅엔디안 표현을 할 수 있습니다. 과거에는 이 파일을 분석할 수 있는 도구로는 EsEDbViewer, libesedb가 있었지만 현재는 IE10 Analyzer를 이용하면 됩니다.
너무 길어졌습니다. Windows Explorer에 대해서 분석을 하기 위해서는 IE10 Analyzer를 써야합니다.
이 프로그램을 통해서 추출한 dat파일을 열어보면 feedplat, History, Cookies 등등 다양한 정보들을 볼 수 있습니다.
우리가 봐야하는 것은 URL을 봐야하기 때문에 History를 보겠습니다.
그럼 이렇게 hanrss.com이 가장 많이 접근한 사이트임을 알 수 있었고, 마지막으로 접근 시간이니까 AccessedTime을 보시면 됩니다.
이제 플래그 형식에 맞춰서 입력하시면 됩니다.
#1 : 용의자가 가장 많이 접근했던 사이트의 URL은?
KEY Format : URL(http://aaa.bbb.cccc/)
=> URL(http://www.hanrss.com/ )
#2 : 해당 URL에 마지막으로 접근한 시간은?
KEY Format : yyyy-MM-dd_hh:mm:ss
=> 2012-08-30_14:59:49
'CTF-D > Disk' 카테고리의 다른 글
| [Disk] 윈도우 작업 관리자에서 우클릭... (0) | 2022.03.16 |
|---|---|
| [Disk] A회사 보안팀은 내부직원 (0) | 2022.03.15 |
| [Disk] 이벤트 예약 웹사이트를 운영하고... (0) | 2022.03.07 |
| [Disk] X 회사의 재정 정보를 훔치기... (0) | 2022.02.08 |
| [Disk] 파일에서 플래그를 찾아라 (0) | 2022.02.05 |