728x90
문제 텍스트 파일은 다음과 같다.
이동식 디스크에 저장된 원본 파일 이름을 구하라고 한다. 무슨 의미인지 잘 모르겠지만,,
일단 바로가기 파일을 잘 모르기 때문에 무엇인지 한번 짚고 넘어가자
LNK 파일
링크 파일로, 바로가기 경로를 지정하여 특정 프로그램 또는 파일을 실행할 수 있다.
010 Editor 템플릿을 이용해 LNK 파일 분석이 가능하다.
LNK 파일 포맷은 크게 아래 5가지 부분으로 구성된다.
- ShellLinkHeader
- LinkTargetIDList
- LinkInfo
- StringData
- ExtraData
-> 포렌식적으로 의미있는 정보를 저장한 구조는 ShellLinkHeader와 LinkInfo 구조이다.
- ShellLinkHeader : 기본적인 헤더로 식별 정보, 시간 정보, 대상 파일 크기, 대상 파일 특성 등의 정보 저장
- LinkInfo : ShellLinkHeader의 HasLinkInfo 플래그가 설정되어 있을때만 존재하는 구조로 링크 대상을 참조하기 위한 정보를 가진 구조
++ 추가 정리 예정 ++
참고) http://forensic-proof.com/archives/607
문제 텍스트 파일과 함께 주어진 zip 파일을 보면 다음과 같다.
압축을 풀어서 확인해보자
위에 잠깐 바로가기 파일 살펴봤을 때, 010 editor로 확인할 수 있다고 해서 다운받았다.
+) 구글링 결과
HxD로도 된다고 해서 열어봤는데 .. 잘 모르겠어서 010 editor 사용하기로
관련 템플릿도 다운 받았다.
다른 LNK 파일을 확인해보면 DRIVE_FIXED가 대부분이었고, 8번만 이동형 저장장치를 의미하는 DRIVE_REMOVABLE이었다.
그 밑에 확인해보면 한글 파일명이 깨져있는 채로 확인되었다.
파일명이 EUC_KR 인코딩을 사용하고 있다고 해서 디코딩 사이트를 사용해 알아냈다.
그로써 파일 명은 섹터 연락망.hwp임을 확인할 수 있다.
728x90
'Forensics > Wargame' 카테고리의 다른 글
[crescendo] Event Log Problem 02 (0) | 2022.04.01 |
---|---|
[crescendo] Event Log Problem 01 (0) | 2022.03.31 |
[ctf-d] woodstock-1 (0) | 2022.03.15 |
[ctf-d] 파일에서 플래그를 찾아라 (0) | 2022.03.11 |
[ctf-d] Tommy는 프로그램을 작성했습니다. (0) | 2022.03.05 |
댓글