비전공자의 포렌식일기

이번 시간에 포스팅할 문제는 이전 시간과 이어지는 내용입니다. 이전 시간에 배웠던 내용을 되짚어 보면, 우리는 사용자의 계정을 확인 하기 위해 "Root\Users" 경로를 따라가 사용자의 계정이 어떤게 있는지 확인을 하고 삭제된 계정을 확인하기 위해서 이벤트 뷰어를 통해 analysis를 해야합니다. 계정이 삭제된 것을 파악하기 위해서는 이벤트 로그 파일중 Security를 확인 해야하며 경로는 "Root\Windows\System32\winevt\Logs" 에서 찾을 수 있습니다. 이번 시간에 풀어야 할 문제를 한 번 보겠습니다. 문제를 읽어 보면 어떤 방법으로 문제를 풀어야 할 지 추측이 가능할것입니다. 왜냐하면 하드 어딘가에 암호화(encryption)를 해두어 숨겨뒀다. 라는 문구가 보이니까 우..

안녕하세요!!! 저번 시간에는 hxd에디터로 PNG파일의 고유 헤더 시그니처인 89 50 4E 47 0D 0A 1A 0A로만 바꿔주면 바로 flag값이 나왔습니다. 이번에는 50점을 주는 문제인 회사 찾기를 풀어 보겠습니다. (오늘도 설명충이니 지루해도 읽어주세용...다 도움이 되는 말만 골라서 하겠습니다 ㅋㅋㅋㅋ) 문제를 한번 보겠습니다. 돈이 필요하고...포렌식을 잘하니까 포렌식 회사에 취직해야지 ㅎㅎㅎ 그런데 어디로 가야할까?? 라는 문제네용!? 그럼 문제를 보면 느낄 수 있는게 회사를 찾는거니까 회사는 COMPANY입니다. 플래그 값에 COMPANY라는 단어가 들어간다는 추측은 할 수 있습니다. 이제 주어진 파일인 FINDAJOB.zip을 다운 받아보겠습니다. zip파일이네요?? 그럼 압축을 풀어..