Memory Forensic #12 GrrCON 2015 #12
지문에 대한 파일의 MAC (수정, 접근, 생성) 시간은 MFT 파일을 분석해보면 확인할 수 있습니다.
따라서 volatility 도구의 mftparser 플러그인을 사용하여 메모리 덤프에 대한 MFT 파일을 분석하였습니다.
MFT 파일에 대한 nbtscan.exe 파일의 타임스탬프를 확인해보면 수정과 접근, 생성 시간이 모두 동일합니다.
그러므로 Key Format대로 날짜와 시간을 플래그로 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #14 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #13 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #11 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #10 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #9 (0) | 2020.02.09 |