인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견했다고 한다.
제공된 이벤트 로그는 다음과 같다.
구하려고 하는 정보에 따라 봐야할 이벤트 로그가 무엇인지 알 필요가 있을 것 같다.
1번부터 살펴보자.
1번은 설치된 비인가 프로그램의 실행파일 이름이다.
프로그램에 대한 정보를 봐야하므로 Application.evtx를 살펴보자.
비인가 프로그램 중에서도 클라우드 공유 프로그램이라는 것을 잊지말자.
저번에도 이벤트 로그를 살펴볼 때 사용한 툴인 Event Log Explorer을 통해 열어보았다.
오른쪽 스크롤을 보면 되게 많은 event들이 있는 것을 확인할 수 있다.
이벤트 id 11707은 프로그램이 정상 설치 된 기록을 확인할 수 있다.
실행을 했으니 정상설치 되었을 것이라 생각되어 필터링을 해보았다.
그랬더니 세 가지 이벤트가 필터링 되었다.
내용을 보면 Dropbox Update Helper, Adobe Reader, Google Update Helper이다.
클라우드 공유 프로그램은 이 셋 중에 Dropbox가 가장 유력하다.
따라서 1번 답은 Dropbox
2번은 1번 프로그램의 설치 완료 시점을 구하는 것이다.
1번을 풀 때 필터링 한 id인 11707이 프로그램의 정상 설치를 나타내므로 해당 id의 시간이 바로 2번 답이라고 할 수 있다.
따라서 2번 답은 2016-10-13 12:25:36
3번은
1번 프로그램이 방화벽 예외에 등록된 시점을 구하는 것이다.
그래서 제공된 event log 중 firewall에 해당되는 event log를 살펴보려고 한다.
방화벽과 관련한 event id를 살펴보자.
방화벽 설정이 변경된 경우의 event id는 4950이다.
근데 필터링 해보니까 아무런 event도 나오지 않았다.
근데 Description을 보니까 A Windows Defender Firewall setting has changed.가 몇몇 보여서 Text in description에 해당 문구로 필터링을 해주었다.
그래서 15개의 이벤트를 확인할 수 있었다.
근데 Descrption을 보니까 다른게 Value 밖에 없고 Modifying Application은 공란으로 되어있었다.
Modifying Application에 Dropbox가 있어야하는데,,
그래서 Text in description에 Dropbox을 넣고 필터링 해봤다.
그랬더니 딱 하나 이벤트가 나왔다.
따라서 3번 답은 2016-10-13 12:30:00
최종 flag는 Dropbox_2016-10-13 12:25:36_2016-10-13 12:30:00
'Forensics > Wargame' 카테고리의 다른 글
[crescendo] Event Log Problem 02 (0) | 2022.04.01 |
---|---|
[crescendo] Event Log Problem 01 (0) | 2022.03.31 |
[crescendo] LNK Problem 01 (0) | 2022.03.26 |
[ctf-d] woodstock-1 (0) | 2022.03.15 |
[ctf-d] 파일에서 플래그를 찾아라 (0) | 2022.03.11 |
댓글