Blog Content

크레센도 그룹의 보안담당자 A씨는 최근 사내 기밀 문서 유출이의심되는 용의자 D씨의 컴퓨터를 확보했다. 그러나 이미 해당 PC에서 기밀 문서는 삭제 것으로 보인다. 주어진 파일로부터 다음의 정보를 획득하시오:1. 기밀 문서로 추정되는 삭제된 파일 이름2. 해당 파일의 삭제 추정 시간 답 포맷 : [1번 정답]_[2번 정답]Ex: Confidential.docx_2016-01-22 17:22:11문제 파일을 다운받으면 MFT 파일이 있다. $MFT 파일은 NTFS 내에 모든 파일이나 디렉터리 메타 정보를 담고 있고 삭제한 파일에 대한 정보도 담고 있다. 분석을 위해 $MFT파일구조를 분석해주는 도구 analyzeMFT를 사용하면 된다. [그림 1] analyzeMFT사용 방법은 [그림 1]과 같다. cmd..