xcz.kr 22번 문제풀이

Title

Who's Notebook?

Description

Korean

내친구 A는 어느날 출근길에 누군가 잃어버린 것 같은 노트북을 발견한다.

A는 이 노트북을 주인에게 찾아주고 싶지만 찾을 방법을 몰라서 포렌서인 나에게 노트북을 맡기게된다.

이 노트북의 주인을 찾아주자.

인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지

인증키는 모두 대문자로, 띄어쓰기무시

예) PLACE1_PLACE2_PLACE3

[그림 1]

문제를 다운받으면 Notebook 파일명을 가진 파일이 받아진다.  얼핏봐서는 어떠한 파일인지 알 수 없으니 Winhex로 열어보았다.

[그림 2]

Winhex로 파일을 열면 ADSEGMETEDFILE 이라고 한다. 어떠한 파일인지 알아보기 위해 구글링해보니 Access Data에서 지원하는 File Format을 통해 Dump를 수행하였을 때 확장자를 AD1로 지정했을경우 만들어지는 파일이라고 한다. 

[그림 3]

파일 확장자명을 AD1로 붙여주고 FTK Imager로 Image File을 열어보았다.

[그림 4]

이미지를 열어보면 디렉터리 리스트를 확인할 수 있다. 한 디렉터리씩 확인해보던 중 이동경로로 유추해볼만한 파일을 발견하였다.

[그림 5]

[그림 5]를 살펴보면 Desktop 디렉터리내에 존재하는 파일들이다. 파일을 확인해보면 밥사진, 워크3, record, 자막파일 등 이것저것 흔적들이 있었지만 60955485345파일을 확인했을때 이동경로가 나타나는 GPS 정보를 담고 있었다.

[그림 6]

파일을 확인해보니 gps에 관련된 태그와 사용자의 위치를 추적할 수 있는 여러정보를 담고 있었다. metadata 태그부분을 확인해보면 GPS Route Editor를 사용하여 파일을 생성했고 gpsnote.net 사이트주소가 링크되있었다. 해당 링크에 접속해보니 GPS Route Editor에 관한 설명이 있었다. GPS Track 로그 파일(GPX)를 생성이나 편집할 수 있는 도구라고 한다. 해당 도구를 사용하면 GPS 경로가 나올것 같다. 한번 확인해보자.

[그림 7]

FTK Imager에서 GPS 파일을 추출하여 gpx확장자명을 붙여 GPS Editor에서 파일을 열어보았다. 파일을 열면 지도에 사용자의 이동경로로 보이는 빨간선이 있다. 빨간선을 따라가보면 출발은 공덕역에서 시작하여 김포국제공항에서 비행기를타고 제주도에 도착하여 동부 렌트카에 방문 한 것 같다. 인증키 형식을 보면 출발지_거쳐가는곳(1곳)_최종도착지순으로 적으라고한다.

GONGDEOK_ GIMPOINTERNATIONALAIRPORT_DONGBURENTCAR

처음에 위 키값을 적어주니 인증이 되지않았다. 혹시 오탈자가 있나 체크해봤지만 여전히 문제가 해결되지않았다.

[그림 8]

파일을 다시한번 확인하여 도착지점의 위,경도를 구글맵에 찍어보니 동부렌트카옆에 세븐일레븐이 있었다... 

[그림 9]

키값을 GONGDEOK_GIMPOINTERNATIONALAIRPORT_7-ELEVEN로 넣어주니 문제가 해결되었다.