xcz.kr 36번 문제풀이

Title

File Deleted

Description

Korean

피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.

아래의 형식에 맞춰 증거를 수집해라.

시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))

ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB))

[그림 1]

문제를 다운받고 압축을 풀고 unl 디렉터리를 보면 여러 하위 디렉터리들이 보인다. FTK Imager로 파일 소지 기록의 흔적을 찾아보자.

[그림2]

이러한 문제는 디렉터리를 하나씩 살펴보거나 사용자 데이터 폴더 및 임시폴더 등에 숨기는 경우가 많다. [그림2]를 보면 file_deleted\unl\AppData\Roaming\Microsoft\Windows\Recent 최근 접근문서 폴더를 살펴보면  "s3c3r7.avi.lnk" 파일명을 가진 매우 수상한 파일이 있다. 아래에 hex editor에 있는 값을 보면 H:\study\s3c3r7.avi 원본파일의 경로로 추측되는 값이 있었다. 원본 경로를 찾았으니 시간과 관련된 값들을 찾기위해 010 editor에 lnk 템플릿을 사용하여 포맷 정보들을 살펴보았다.

[그림3]

[그림3]은 010editor에 lnk템플릿을 적용시킨 화면이다. 위와 같이 포맷 정보들을 쉽게 확인할 수 있다. 문제 해결에 필요한 시간들은 만들어진 시간, 마지막 실행 시간, 쓰인 시간 등이다. 이 시간들을 문제 키값의 형식으로 바꿔주면 20131016045210_20131016142450_20131016103747 이 된다. 

[그림4]

시간들을 변경해주고 마지막남은 볼륨 시리얼값을 찾아야되는데 [그림4]를 보면 위와 마찬가지로 템플릿에서 모두 확인할 수 있다. 시리얼값을 hex값으로 변환시키면 A9 02 A8 D0이 되는데 볼륨 시리얼 번호는 리틀엔디안 방식으로 읽어줘야한다. 필요한 키값들을 조합해보면

lowercase(md5(H:\study\s3c3r7.avi_20131016045210_20131016142450_20131016103747_D0A8-02A9)) 이 나온다. 처음에 키값을 인증했을때 되지않아 다시 한번 보았을때 문제에 제시된 시간 기준은 GMT+9다. 응용프로그램이 시간정보를 나타낼때는 UTC+0 기준으로 기록되기 때문에 시간값에 +9를 더해주면 lowercase(md5(H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9)) 가 된다.  

[그림5]

python으로 간단한 코딩을 해서 md5로 인코딩해주고 lower조건으로 바꿔주면 문제가 해결된다.

[그림6] - 문제 키값