Disk Forensic #15 (X 회사의 재정 정보를 훔치기...)
주어지는 문제 파일은 확장자가 존재하지 않아 어떤 유형의 파일인지 알 수 없다.
그래서 리눅스 환경으로 옮겨서 file 명령어로 파일 유형을 확인하였다.
file 명령어로 확인한 결과, 7z 압축 파일인 것을 확인하였다.
확장자를 .7z로 지정하고 압축을 풀면 Users 폴더가 생성된다.
Users 폴더 안에는 All Users, Default 폴더 등 여러 폴더가 존재한다.
그리고 CFO로 보이는 proneer 폴더도 존재한다.
이는 윈도우 사용자 폴더 구조와 동일하다.
따라서 문제 파일은 윈도우 운영체제의 사용자 폴더를 압축한 파일임을 알 수 있다.
이제 문제에서 제시한 EXCEL 파일의 흔적을 찾아야 한다.
시스템의 운영체제가 윈도우고 해당 파일이 문서파일이란 점을 고려했을 때 파일이 실행되는 순간 링크 파일이 생성됐을 것이다.
문서 파일의 링크 파일 정보가 담긴 폴더의 경로는 다음과 같다.
Users\proneer\AppData\Roaming\Microsoft\Office\Recent
해당 경로로 들어가면 위와 같이 재무 정보 문서의 링크 파일이 존재한다.
이제 이 링크 파일을 분석해서 파일 크기와 전제 경로를 파악해야 한다.
링크 파일 분석을 위해 WFA 도구를 사용하여 분석하였다.
WFA(Windows File Analyzer) : 윈도우 아티팩트를 분석해주는 도구
설치 / 참조 사이트 : https://www.mitec.cz/wfa.html
MiTeC Homepage
www.mitec.cz
WFA를 실행한 다음, [File] - [Analyze Shortcuts] 기능을 선택하여 위 경로대로 이동하여 Recent 폴더를 불러온다.
분석 결과를 확인해보면 재무 정보 문서 링크 파일의 파일 크기와 전체 경로를 알 수 있다.
문제에서 제시한 포맷대로 정리하면 다음과 같다.
마지막으로 최종 포맷에 맞게 md5 Hash값으로 변환한다.
md5 인코딩 / 디코딩 사이트 : https://tools.web-max.ca/encode_decode.php
Tools to help encode/encrypt or decode/decrypt MD5, MD4, Sha1, Sha256 URL encoding, Base85 or Base64
Encoders / decoders This tool will allow you to either encode / encrypt a string to its MD5 hash. You can also perform the same operation for SHA1, SHA256, SHA384, SHA512 and CRC32 hashes, and also convert to and from URL encoded strings, Base64 and Base85
tools.web-max.ca
정상적으로 문제에 대한 플래그가 출력된다.
위 과정을 통해 문제를 해결할 수 있다.
# Reference
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Disk Forensic] 서울에 사는 IU가 특정 웹... (0) | 2020.03.11 |
|---|---|
| [Disk Forensic] 파일에서 플래그를 찾아라. (0) | 2020.03.11 |
| [Disk Forensic] Find Key(slack) (0) | 2020.03.10 |
| [Disk Forensic] 서울에 위치한 X 에너지 기업이... (0) | 2020.03.10 |
| [Disk Forensic] 제 드라이브에 catz 사진이 몇 장 있습니다! (0) | 2020.03.10 |