[Disk Forensic] 판교 테크노밸리 K기업에서 #1, #2

Disk Forensic #4, #5 (판교 테크노밸리 K기업에서 #1, #2)

 

디스크 포렌식 4번 문제

 

디스크 포렌식 5번 문제

 

이번 문제는 디스크 포렌식 4번, 5번이 이어져 있는 문제이다.

 

웹 브라우저의 History에는 접속한 URL, 접속 횟수, 마지막 접속 시간, 접속 페이지 등의 여러 정보가 있다.

 

Internet Explorer는 Index.dat 파일에 History가 저장되는데, Windows 운영체제 버전에 따라서 저장되는 디렉토리가 각각 다르다.

 

Windows 버전	History 디렉토리
2000 / XP	C:\Documents and Settings\<username>\Cookies\Index.dat C:\Documents and Settings\<username>\Local Setting\History\History\History.IE6\Index.dat   C:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE6\Index.dat
Vista 7	C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Index.dat C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Cookies\Index.dat   C:\Users\<username>\AppData\Local\Microsoft\History\History.IE5\Index.dat
IE v10 이상	C:\User\<username>\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat   C:\User\<username>\AppData\Local\Microsoft\Windows\WebCache\WebcacheV24.dat

위 표를 참고하여 운영체제 버전 별로 Index.dat 파일 디렉토리를 확인할 수 있다.

 

Internet Explorer 10 이상 버전부터는 WebcacheV01.dat와 같은 형식의 파일에 기록을 저장한다.

 

이제 경로를 확인하였으니, 본격적으로 문제 풀기에 들어간다.

 

먼저 주어진 2012_Secuwave F200.7z 파일의 압축을 풀게 되면 다음과 같은 폴더들이 존재한다.

 

[그림 1] 사용자 계정 7ester

 

확인 되는 사용자 계정은 7ester라는 폴더가 존재하며, 용의자의 계정으로 추측해볼 수 있다.

 

사용자 계정으로 들어가게 되면, 다음과 같은 여러 폴더들이 존재한다.

 

[그림 2] 7ester 하위 디렉토리

 

웹 브라우저의 공통 경로인 <username>\AppData\Local 디렉토리를 확인해보면 Internet Explorer외에 다른 웹 브라우저의 흔적을 찾을 수 없다.

 

따라서 Internet Explorer 아티팩트 분석을 통하여 문제를 해결해야 한다.

 

[그림 3] 용의자 사용 웹 브라우저 확인

 

Google Chrome은 <username>\AppData\Local\Google\Chrome 디렉토리로 사용 여부를 식별 가능,

Apple Safari는 <username>\AppData\Local\Apple Computer\Safari 디렉토리로 사용 여부를 식별 가능 

 

[그림 4] WebcacheV24.dat 파일 확인

 

위 표에서 정리해놓은 디렉토리를 바탕으로 분석해보면, C:\User\<username>\AppData\Local\Microsoft\Windows\WebCache 디렉토리에서 WebcacheV24.dat 파일을 찾을 수 있었으며, 용의자는 Internet Explorer 버전 10 이상을 사용했음을 확인할 수 있다.

 

Internet Explorer 10 버전 이상은 IE10Analyzer.exe 도구를 사용하여 웹 사용 기록을 분석할 수 있다.

 

 

IE10Analyzer.exe 다운로드 : http://moaistory.blogspot.com/2016/07/internet-explorer-10-microsoft-edge.html

Internet Explorer 10, 11, Microsoft Edge Forensic Tool

[그림 5] IE10Analyzer 메인 화면

 

먼저 도구의 File 메뉴를 눌러 Open을 선택하여 분석할 Internet Explorer 아티팩트의 경로를 설정한다.

 

[그림 6] IE10Analyzer.exe 아티팩트 경로 설정

 

파일 경로는 2012_SecuwaveF200\Users\7ester\AppData\Local\Microsoft\Windows\WebCache\WebcacheV24.dat로 설정한다.

 

[그림 7] UTC+9 시간 설정

 

문제에서 UTC+9 시간대로 접근 시간을 요구하였으므로 도구의 분석 시간도 똑같이 설정한다.

 

[그림 8] 가장 많이 접근한 사이트의 URL, 마지막 접근 시간 확인

 

시간대를 설정한 다음, 왼쪽 Table 탭에서 History(M) 항목을 선택하면 접속했던 URL에 관한 접속 횟수와 마지막 접근 시간, URL, 웹 페이지 정보 등 다양한 정보 확인이 가능하다.

 

목록에서 AccessCount(접속 횟수)가 가장 높은 519에 해당하는 정보를 보면 문제에서 요구하는 가장 많이 접근 했던 사이트의 URL과 마지막 접근 시간 확인이 가능하다.

 

[그림 9] 가장 많이 접근한 사이트 URL 확인

 

[그림 10] 마지막 접근 시간 확인

 

위 화면과 같이 자세한 내용을 확인하여 문제에서 제시한 플래그 포맷대로 입력하게 되면 문제를 해결할 수 있다.

---

# Reference

 

http://www.yes24.com/Product/Goods/59156934