[DFC 2022] 202 - 202 - Where have you been 문제 풀이

 

설명 !

당신은 조사관입니다.
자택 격리를 의무화한 '앨리스'가 코로나19 양성 판정을 받고 외출했다는 제보를 받았습니다.
'앨리스'에 대해 조사해보니 "그냥 집 앞에 잠시 나갔다"고 하더군요.
'앨리스'가 스마트폰을 집에 두고 웨어러블 디바이스를 착용하고 나간 것을 확인하셨습니다.
역학조사를 위해서는 웨어러블 디바이스를 분석해 '앨리스'의 동선을 확인해야 한다.

 

문제

1.웨어러블 디바이스의 다음 정보를 확인하세요.
장치 모델 이름
SW 버전
기기 OS, 버전
일련번호
장치 MAC 주소
WiFi MAC 주소


2.연결된 스마트폰의 다음 정보를 확인하세요.
장치 이름
장치 OS/버전
SW 버전
삼성 계정

3.앨리스는 왜 나갔나요?

4.앨리스는 의도적으로 스마트폰을 집에 두고 온 걸까요? 그런 결론을 내리게 된 이유는 무엇입니까?

5.앨리스는 5월 22일에 어디를 방문했습니까?

 

각설하고 바로 풀어보자

 

1.웨어러블 디바이스의 다음 정보를 확인하세요.

사실 조금 어려웠다. 일단... 일단 SM-으로 모델명으로 시작한다는 나의 직감으로 일단 엑시옴으로 색인을 돌렸다.

색인 결과 중 WearableStatus.xml이라는 파일을 발견. 굉장히 영양가가 높아보이는 내용이다.

 

문제	xml에서의 이름	값
장치 모델 이름	Device name(modelNumber)	Samsung Gear C(SM-R775S)
SW 버전	swVersion	R775SKSU2FUD1
기기 OS, 버전	devicePlatformVersion	4.0.0.7
일련번호	serialNumber	R5AJ30186D
장치 MAC 주소	deviceID	40:D3:AE:68:AC:EB
WIFI MAC 주소	wifiAddress	40:D3:AE:68:AC:EC

 

답을 이렇게 정리할 수 있다.

 

2.연결된 스마트폰의 다음 정보를 확인하시오.

이 부분은 쉬웠다.

root\usr\dbspace\.Companionlnfo.db에서 확인할 수 있다.

 

하지만 삼성 계정은 여기서 찾을 수 없었다.

삼성 계정은 root\dbspace\5001\.account.db에서 찾을 수 있었고,dfc.alice@gmail.com이였다.

 

문제	db속 이름	값
장치 이름	device_model_name	Galaxy S7 dege
장치 OS/버전	device_platform_vervion	8.0.0
SW 버전	device_binary_version	R16NW.G935LKLU3ETJ1
삼성 계정	email_address	dfc.alice@gmail.com

 

3.앨리스는 왜 나갔나요?

나간 이유는 메신저에 있을거라고 추측했고, 그 예상이 맞았다. 해당 답은 메일에서 찾을 수 있었으며, 대화 내용은 다음과 같다.

제목 : charilie dfc
제목 : Where shall we meet?
Alice, The last place I went was sold out.
Try watching it at a nearby movie theater!
see you there 3 PM!

앨리스, 지난번에 갔던 곳은 매진이더라구요.
가까운 영화관에서 감상해보세요!
오후 3시에 거기서 만나요!


제목 : RE: Where shall we meet
Alice, The last place I went was sold out.
Try watching it at a nearby movie theater!
see you there 3 PM!

앨리스, 지난번에 갔던 곳은 매진이더라구요.
가까운 영화관에서 감상해보세요!
오후 3시에 거기서 만나요!

2021년 5월 22일 (토) 오후 1:33, charlie dfc <dfc.charlie@gmail.com>님이 작성:
yep, See you there at 3 o'clock!
응, 거기서 3시에 만나자!

영화를 보러갔다.

4.앨리스는 의도적으로 스마트폰을 집에 두고 온 걸까요? 그런 결론을 내리게 된 이유는 무엇입니까?

 

2021년 5월 22일 (토) 오전 1:12, dfc.alice <dfc.alice@gmail.com>님이 작성:
Umm... yes! okay. If i leave my cell phone, i think it will be fine. Lets go to the movie~!! Are you going to see it there the last time you saw it??
음... 그래! 좋아요. 휴대폰을 놔두면 괜찮을 것 같아요. 영화보러가자~!! 저번에 봤을 때 거기서 볼 건가요??

대화내용 중 일부를 보면 알 수 있다.

 

5.앨리스는 5월 22일에 어디를 방문했습니까?

 

앨리스는 네이버 지도를 설치했다 ! 그렇다는건 어디를 갈 때 네이버 지도로 찾아간다고 판단.

분석 중 해당 날짜의 데이터를 획득했다.

이 부분을 url 디코더로 해석해보면

 

&o=reco&lo=ko&l=

126.84575,37.53278,서울특별시 강서구 화곡동 강서로

57;126.9018962,37.5341162,커피온리 당산역사점&msgpad=1621672491051&md=5uB7Uy66WnoG3dYPCU2o7CFBO4g=

 

라는 결과가 나온다.

 

그 후, 계속해서 다른 좌표로 길찾기를 시도하는데 최종 목적지는 다음과 같다.

이러한 정황을 볼 때 앨리스는 영화관이 아닌 메일 수신자의 집으로 간 것으로 추정할 수 있다.