Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- 레가
- http://reversing.kr/
- U's room
- 레지스트리포렌식
- 포렌식
- 서울호서직업전문학교
- 리버싱
- forensic
- 서호전
- 리버싱엔지니어링
- 이디스커버리
- e-discovery
- KDFS2022 #KDFS2023 #학생트랙 #멤버모집 #포공학 #포렌식 #디지털포렌식 #범인을찾아라 #DFC #포렌식대회 #보고서 #학생트랙보고서
- 역연산
- 고려대학원
- encase
- REGA
- 악성코드
- 사이버수사
- reversing.kr
- 디지털포렌식
- 엔케이스
- 악성코드 분석
- 악성코드분석
- Music_Player
- 포렌식 #안티포렌식 #레지스트리 #거부권한 #깃허브 #Forensics #forensic #anti-forensic #anti-forenscis #컴퓨터 #사이버수사 #수사관 #KDFS
- 사이버수사과
- x64dbg
- Reversing
- Opentext
Archives
- Today
- Total
DDDDigtal 4ensics
[DFC 2022] 201 - Shredder Test 문제 풀이 본문
 |
 |
오늘 풀어볼 문제는 DFC 2022에 출제되었던 문제 중 Shredder Test이다.
해당 문제에서 제시한 내용은 다음 과 같다.
문제
1.와이핑(분쇄기) 프로그램 사용 흔적을 분석하여 어떤 프로그램이 사용되었는지 확인합니다. 힌트: 다음 나열된 도구 중 일부가 사용되었습니다(기본 설정, 프리웨어/데모 라이센스).
2.사용자가 삭제한 파일을 삭제 시간 순으로 나열합니다. 삭제 시간을 나타내는 모든 아티팩트를 설명합니다.
각설하고 바로 이미지를 열어보았다.
열자마자 ~BCWipe.tmp가 보인다. 와이핑을 목적으로 사용된 프로그램은 BCWipe인 것으로 확인할 수 있다.
그럼 삭제 시간 순으로 나열하기 위하여 다음과 같은 파일을 추출한다.
| 파일명 | 경로 |
| $LogFile | root/$LogFile |
위 파일을 추출하였고, 필자는 분석을 위해 NTFS Log Treacker 1.6을 사용하였다.
해당 이미지에서 얻을 수 있는 유의미한 정보는 위 이미지와 같다.
그리고 아래의 표와 같이 정리할 수 있다.
| 원본 이름 | 바뀐 이름 | 삭제된 시간 |
| 37.jpg | Xb2nLU | 2021-04-08 11:12:21 |
| 9.jpg | _temp41865644161 | 2021-04-08 11:12:31 |
| 40.jpg | sS.W2d | 2021-04-08 11:12:43 |
| 1.jpg | _temp41865644161 | 2021-04-08 11:12:50 |
여기서 마지막 1.jpg의 삭제 시간은 정확하게 보여주지 않는다. 하지만 위 파일들의 패턴을 보면 와이핑 프로그램이
Renaming File을 시킨 후 딜레이 없이 바로 삭제하는 점을 고려하였을 때 2021-04-08 11:12:50라는 시간이 나올 수 있다.
'Forensics > 문제풀이' 카테고리의 다른 글
| [ UofT CTF ] secret 문제 풀이 (0) | 2024.03.30 |
|---|---|
| [Dreamhack] Snowing! 문제 해설 (0) | 2024.03.30 |
| [ KDFS 2018 ] KDFS 2018 문제를 짧게 풀어보자 (0) | 2024.03.30 |
| [DFC 2022] 202 - 202 - Where have you been 문제 풀이 (0) | 2024.03.28 |
'Forensics/문제풀이' Related Articles
more
