Security/디지털 포렌식 with CTF (book)
2019. 6. 28.
디지털 포렌식 with CTF -DISK(10)
... DISK FORENSIC10 증거 파일과 그 파일을 다운로드 했던 시간을 찾는 문제이다.문제 파일을 까보면 확장자가 나와있지 않다.HxD로 파일을 확인하면 512byte 영역 내의 2byte가 55 AA (MBR signature) 임을 보고 파일 시스템임을 알 수 있다. FTK로 열어 증거를 찾던 중 Administrator의 바탕화면에서 토렌트를 발견할 수 있었고,이를 통해 문제에서 말한 음란물을 접했다고 추측 할 수 있다. 토렌트에서는 settings.dat 파일에 정보를 저장한다.다운로드 경로를 확인하기 위해 이 파일을 분석 해야 한다. 토렌트의 settings.dat 전용 편집기인 BEncode Editor를 통해 분석 했다.다운로드 경로는 아래와 같다.C:\Users\CodeGate_F..