본문 바로가기
Forensics/Wargame

[crescendo] LNK Problem 01

by sseddi 2022. 3. 26.
728x90

문제 텍스트 파일은 다음과 같다.

이동식 디스크에 저장된 원본 파일 이름을 구하라고 한다. 무슨 의미인지 잘 모르겠지만,, 

일단 바로가기 파일을 잘 모르기 때문에 무엇인지 한번 짚고 넘어가자

 


LNK 파일

 

링크 파일로, 바로가기 경로를 지정하여 특정 프로그램 또는 파일을 실행할 수 있다.

010 Editor 템플릿을 이용해 LNK 파일 분석이 가능하다.

 

LNK 파일 포맷은 크게 아래 5가지 부분으로 구성된다.

  • ShellLinkHeader
  • LinkTargetIDList
  • LinkInfo
  • StringData
  • ExtraData

-> 포렌식적으로 의미있는 정보를 저장한 구조는 ShellLinkHeaderLinkInfo 구조이다.

 

  • ShellLinkHeader : 기본적인 헤더로 식별 정보, 시간 정보, 대상 파일 크기, 대상 파일 특성 등의 정보 저장
  • LinkInfo : ShellLinkHeader의 HasLinkInfo 플래그가 설정되어 있을때만 존재하는 구조로 링크 대상을 참조하기 위한 정보를 가진 구조

++ 추가 정리 예정 ++

 

참고) http://forensic-proof.com/archives/607


문제 텍스트 파일과 함께 주어진 zip 파일을 보면 다음과 같다.

압축을 풀어서 확인해보자

위에 잠깐 바로가기 파일 살펴봤을 때, 010 editor로 확인할 수 있다고 해서 다운받았다.


+) 구글링 결과

HxD로도 된다고 해서 열어봤는데 .. 잘 모르겠어서 010 editor 사용하기로


관련 템플릿도 다운 받았다.

다른 LNK 파일을 확인해보면 DRIVE_FIXED가 대부분이었고, 8번만 이동형 저장장치를 의미하는 DRIVE_REMOVABLE이었다.

그 밑에 확인해보면 한글 파일명이 깨져있는 채로 확인되었다.

파일명이 EUC_KR 인코딩을 사용하고 있다고 해서 디코딩 사이트를 사용해 알아냈다.

https://string-functions.com/encodedecode.aspx

그로써 파일 명은 섹터 연락망.hwp임을 확인할 수 있다.

728x90

댓글