728x90
문제를 보면 구매자의 집에 동거자를 알아내는 것이다.
계정이 삭제된 시각을 알아내야 하므로 윈도우 로그인 기록을 확인하면 계정 삭제 기록도 볼 수 있을 것 같다.
구글링 결과 윈도우 로그인 기록은 이벤트 뷰어를 통해 확인할 수 있다.
Windows - System32에 들어가면
확장자가 evtx인 다양한 파일을 볼 수 있다.
그 중에서도 Security.evtx 가 사용자 계정 정보를 확인할 수 있는 이벤트 로그이다.
그 파일만 추출해 보면 많은 로그인 기록들을 확인할 수 있는데,
그 중에서도 이벤트 ID가 4726인 것이 사용자 계정 삭제를 가르키는 ID라고 한다.
밑의 설명을 보면 사용자 계정을 삭제했습니다와 함께 계정 이름을 확인할 수 있다.
성공!
728x90
'Forensics > Wargame' 카테고리의 다른 글
[N0Named wargame] [B] 유출된 자료 거래 사건[4] (0) | 2020.11.17 |
---|---|
[N0Named wargame] [B] 유출된 자료 거래 사건[2] (0) | 2020.11.17 |
[N0Named wargame] infect (0) | 2020.11.17 |
[N0Named wargame] [A] 수상한 메일 (0) | 2020.11.17 |
[N0Named wargame] [C] Left Side B (0) | 2020.10.29 |
댓글