[xcz.kr] PROB36 문제 풀이(포렌식)

  

PROB 36번은 포렌식 관련 문제입니다.

다운 받은 폴더를 FTK를 사용하여 열어보았습니다.

그냥 바탕화면에서 열었을 때와는 달리 많은 폴더들이 보입니다.

그중 Recent 폴더에 아청법 위반 파일의 링크로 추정되는 것이 있었습니다.

 

  

FTK에서 이를 추출한 뒤, 파일 분석 도구인 010 Editor로 열었습니다.

파일이 LNK파일인데 이는 010 Editor의 기본 템플릿에 존재하지 않으므로 LNK파일을 위한 템플릿을 추가해주었습니다.

https://m.blog.naver.com/PostView.nhn?blogId=koromoon&logNo=220582469720&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F     

위의 링크를 참조하여 추가하였습니다.

템플릿을 추가해주면 다음과 같이 정보가 뜨는 것을 알 수 있습니다.

그 중, ShellLinkHeader 부분에서 파일의 생성시간, 마지막 접근시간, 쓰인시간을 확인할 수 있었습니다.

다음으로 LinkInfo 부분에서 시리얼 넘버와 원본 경로를 찾을 수 있었습니다.

시리얼 넘버는 리틀엔디안 방식으로 되어있기 때문에 뒤에서부터 읽으면 D0A8-02A9가 됩니다.

그럼 최종적으로 양식에 따라 정리해보면

H:\study\s3c3r7.avi_20131016045210_20131016142450_20131016103747_D0A8-02A9

이렇게 됩니다. 

그런데 이상태로 MD5 해시값을 구하면 오답입니다.

계속헤맸었는데 여기서 구한 시간 값이 UTC 기준 시간이라고 합니다.

저희가 구하는 시간은 GMT+9 기준시이기 때문에 우리나라시간에 맞추어 9시간을 더해줍니다.

이렇게 하면,

H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9

위와 같이 되고, 이를 MD5 해시값을 구해보면

다음과 같이 키 값을 얻을 수 있습니다.