Security/CTF
2019. 6. 28.
Hackigcamp CTF_2019
...Hackingcamp CTF2019 드라이브에 총 파일이 5개 존재하는데 분할 압축되어 있기 때문에 모두 다운 받아야 한다.압축을 풀고 바로 FTK로 디스크 파일을 분석 했다. 파티션이 2개 존재하지만 하나는 열리지 않는다. 하지만 문제 푸는데 지장은 없다.총 다섯개의 계정이 존재하는데 이 중 문제에서 찾고자 하는 계정을 찾기 위해 계정 하나 하나를 분석 했다. 그중 Waterman 계정의 history파일에서 수상한 파일을 실행 시킨 흔적을 찾을 수 있었다.실행 시킨 파일은 아래 사진의 ....폴더에 존재한다. 파일의 접근 변경 시간은 파일 추출을 한 후 속성에서 찾을 수도 있고, 아래와 같이 FTK에서 바로 찾을 수도있다.단, FTK는 UTC +0을 기준으로 하기때문에 +9시간 해준 값을 답으로..