윈도우포렌식2 [N0Named wargame] [B] 유출된 자료 거래 사건[4] 문제를 보면 문서를 하드 어딘가 암호화해두어 숨겨두었다고 한다. 휴지통을 보니 암호화 해둔 것의 비밀번호인 것 같은 텍스트 파일을 찾을 수 있었다. 근데 이 문제에 사용한 이미지 파일이 파티션이 3까지 있는데 2만 사용해서 파티션 3을 사용할 수 있을 까 생각을 해 보니 veracrypt를 사용하면 파티션 자체 암호화도 가능해서 파티션 3을 사용할 수 있을 것 같다. 그래서 파티션 3을 추출하고 veracrypt를 다운로드 받은 뒤에 볼륨을 만들어보았다. 그 과정에서 아까 휴지통에서 봤던 텍스트 파일을 이용할 수 있었다. 볼륨을 다 만든 뒤에 마운트 해준 다음 오른쪽 마우스 클릭으로 Open을 눌러주면 이렇게 새 볼륨 창이 뜨고 plan.txt 를 얻을 수 있었다. 텍스트 파일을 열어보니 flag를 확인.. 2020. 11. 17. [N0Named wargame] [B] 유출된 자료 거래 사건[2] 문제를 보면 해당 USB로 옮겼을 것으로 의심되는 파일을 찾아보자 하면서 파일을 입수한 경로를 찾아보면 찾기 편할 수도 라는 힌트를 주었다. 어느 곳에서 파일을 받은 뒤에 USB로 옮겼을 것으로 추측해보면 인터넷이나 메일로 파일을 받은 것을 생각해볼 수 있을 것 같다. FTK imager로 파일을 받을 만한 경로를 생각해보면 이렇게 chrome으로 다운로드 기록이 남을 수 있다. History 파일을 추출해서 DB Browser for SQLite로 열어보면 이렇게 다운로드 받은 기록이 뜨게 되는데 , 그 중에서도 Confidential_Doc 파일이 눈에 띈다. 이 파일을 한번 찾아보자 하지만 이미 삭제한 파일이기 때문에 FTK imager 안에서는 찾을 수 없었다. 그래서 파일 시스템 로그를 분석하기.. 2020. 11. 17. 이전 1 다음 728x90
