윈도우 포렌식2 [N0Named wargame] [B] 유출된 자료 거래 사건[3] 문제를 보면 구매자의 집에 동거자를 알아내는 것이다. 계정이 삭제된 시각을 알아내야 하므로 윈도우 로그인 기록을 확인하면 계정 삭제 기록도 볼 수 있을 것 같다. 구글링 결과 윈도우 로그인 기록은 이벤트 뷰어를 통해 확인할 수 있다. Windows - System32에 들어가면 확장자가 evtx인 다양한 파일을 볼 수 있다. 그 중에서도 Security.evtx 가 사용자 계정 정보를 확인할 수 있는 이벤트 로그이다. 그 파일만 추출해 보면 많은 로그인 기록들을 확인할 수 있는데, 그 중에서도 이벤트 ID가 4726인 것이 사용자 계정 삭제를 가르키는 ID라고 한다. 밑의 설명을 보면 사용자 계정을 삭제했습니다와 함께 계정 이름을 확인할 수 있다. 성공! 2020. 11. 17. [N0Named wargame] infect 문제를 보면 악성 프로그램을 찾아 파일명과 실행시각을 알아내라고 한다. 악성프로그램은 결국 실행되어야 하니까 확장자가 exe인 것을 유의깊게 봐야겠다. 첨부파일을 다운로드 받아보면 ad1파일과 텍스트 파일이 하나 들어있다. 우선 ad1파일을 FTK imager을 사용해 열어보자 일단 파일을 열어서 유저의 바탕화면에 들어가보니, 의미 없는 data2.encrypted 파일과 그 밑에 VboxTester.exe 파일이 보인다. data2.encrypted 파일의 시간을 바탕으로 윈도우 pf 파일을 찾아보면 flag를 찾을 수도 있을 것 같다는 생각이 들었다. data2.encrypted 파일의 시간은 20년 10월 28일 오후 2시 14분 9초인데, 그때 pf 파일은 두 개가 생성되었다. 하나는 CMD,EX.. 2020. 11. 17. 이전 1 다음 728x90