Blog Content

판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다.용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오. 문제를 보면 용의자의 인터넷 사용 패턴을 조사해서 가장 많이 접근했던 사이트와 마지막 접근시간을 알아내는 문제이다.문제해결을 위해 용의자가 어떤 브라우저를 사용했는지와 그 해당 브라우저에 맞는 웹히스토리 파싱도구를 사용해서 파악해보자. 문제 풀이에 들어가기에 앞서 브라우저의 정보들을 살펴보자.임시 인터넷 파일쿠키 정보히스토리 정보캐쉬 정보세션 정보자동 완성 정보 위와 같은 정보들이 브라우저(I..

TitleFile Deleted DescriptionKorean피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.아래의 형식에 맞춰 증거를 수집해라. 시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB)) [그림 1]문제를 다운받고 압축을 풀고 unl 디렉터리를 보면 여러 하위 디렉터리들이 보인다. FTK Imager로 파일 소지 기록의 흔적을 찾아보자. [그림2]이러한 문제는 디렉터리를 하나씩 살펴보거나 사용자 데이터 폴더 및 임시폴더 등에 숨기는 경우가 많..

TitleWho's Notebook? DescriptionKorean내친구 A는 어느날 출근길에 누군가 잃어버린 것 같은 노트북을 발견한다.A는 이 노트북을 주인에게 찾아주고 싶지만 찾을 방법을 몰라서 포렌서인 나에게 노트북을 맡기게된다.이 노트북의 주인을 찾아주자. 인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지인증키는 모두 대문자로, 띄어쓰기무시예) PLACE1_PLACE2_PLACE3 [그림 1]문제를 다운받으면 Notebook 파일명을 가진 파일이 받아진다. 얼핏봐서는 어떠한 파일인지 알 수 없으니 Winhex로 열어보았다. [그림 2]Winhex로 파일을 열면 ADSEGMETEDFILE 이라고 한다. 어떠한 파일인지 알아보기 위해 구글링해보니 Access Data에서 지원하는 File For..