고려대학교 http://forensic.korea.ac.kr/tools.html 에서 제공하는 WEFA 툴을 다운받아서 분석을 시작하도록 하겠다. 그런데 왜 나는 WEFA가 안돼는지 잘 모르겠지만 일단 indexdatAnalyer로 찾아보기로 했다. 맨 처음 IE 로 찾아보았는데 검색기록 외에도 자꾸 뭐가 떠서 공통적으로 있는 search를 필터링 해서 구하니 인터넷 검색기록들이 나왔다. 그 후 간간히 file을 이용하여 파일을 열람한 사실을 알 수 있었고 필터링에 file 을 입력하였다. 빨간 박스안에 있는 결과값만 빼고 나머지는 다 파일을 열람한 기록이다. 즉 검색은 15개 파일 열람은 19개

이번에는 처음 풀어보는 문제 유형이 나온것 같다. Prefetch 파일이 삭제 되었고 레지스트리 파일만 확보하여 분석을 의뢰해 왔다고 한다. 그래서 파일을 열어보니 그냥 레지스트리 분석 문제였다. 아무튼 학생들이 즐긴것으로 의심되는 게임을 찾아야 한다. 그렇다면 SOFTWARE을 살펴보면 될것 같았다. 뭔가 키워드 검색으로 game 을 검색하면 쉽게 나올거라 생각했는데 확실한 게임 이름이 나와있는 파일을 찾기가 힘들었다. 그래서 하나하나 폴더를 찾아보았다. ?? 바로 앞에 블리자드라고 떡하니 써져있다. 사실 컴퓨터 시간에는 스타크래프트, 메탈슬러그, 동물철권이 진리긴 하다.. flag : Starcraft

보통 레지스트리 포렌식을 할때는 파일이 주어지지 않으면 FTK_imager 같은 프로그램으로 dat 파일을 추출한 뒤 REGA를 사용하여 분석 시도를 하게된다. 하지만 이번 케이스는 파일을 주어졌으므로 REGA를 사용하여 분석해보기로 하겠다. 첫번째 문제인 컴퓨터의 타임존은 SYSTEM 파일 안에 있다. HKEY_LOVAL_MACHINE\SYSTEM\ControlSet00X\Control\TimeZoneInformation 의 경로에 있다고 생각하면 된다. 파일을 분석하니 Eastern Standard Time 에 있다고 나온다. 2 번 문제는 컴퓨터에 연결된 적 있던 외부 저장매체의 시리얼 넘버를 찾아야 한다. 연결된 외부 저장매체의 흔적은 다음의 경로와 같다. SYSTEM\ContorlSet00X\E..

음 근데 문제가 좀 이상하다. prefetch 파일을 따로 줬으면서 offset을 적으라고 한다. 그냥 win7, 8, xp의 prefetch 구조를 알고있으면 되는 문제이다. 여기서 Activate Count의 의미는 실행 횟수를 물어본다. 우선 CONSENT.EXE 파일은 WIN8 의 운영체제를 쓰는것으로 보아 0x00000115 번 실행 된것을 볼 수있다. 즉 WIN8은 D0~D3 까지 RUNDLL32.EXE는 17 으로 되어있는것으로 보아 WIN7 운영체제를 사용하고 있으며 WIN7은 1번 실행된것을 볼 수있다. WIN7은 98~9B 까지 11 이면 WIN XP이다. WIN XP 버전은 2번 실행되었다 WIN XP 는 90~93 flag : 0x9093989BD0D3

이번에는 다수의 프리패치 파일들을 분석하는 문제라고 생각한다. 그렇다면 winPrefetchView를 사용하여 pf 파일들을 분석해보도록 하겠다. BANDIZIP 프리패치 파일을 찾았다. 자세히 보면 WORK DOCUMENT.zip 을 압축 해제한 흔적이 보이고 총 4개의 pdf 파일이 확인된다. 1번 2번의 답을 손쉽게 찾았다... 그 후 윈도우 기본 게임 파일 실행 흔적을 찾았다. 먼저 CHESS라는 파일을 찾아서 파일 경로에 따라 정렬하니 게임 하나가 더 나왔다. 3번 답은 CHESS.EXE,SOLITAIRE.EXE flag : WORKDOCUMENT.ZIP_4_CHESS.EXE_SOLITAIRE.EXE

부트 프리패치의 크기, 버전을 묻는 문제이다. 처음 파일을 알집으로 압축되어 있는데 압축을 풀면 다음과 같은 파일들이 있다. 많은 파일들이 저장되어 있는데 그중에서도 부트 프리패치는 NTOSBOOT-B00DFAAD.pf 파일이다. 필자가 기존에 프리패치 파서를 제작하는 과제? 같은것을 받았는데 실패해서 다음에 다시 도전해보기로 했다. 아무튼 파싱을 할려면 기본적으로 프리패치를 hex값으로 봤을때 어느 부분에서 파싱해올지를 고민해보아야 한다. 이 말은 pf파일의 구조를 알아야 한다는 것이다. 요즘 윈도우 10을 많이 사용하는데 윈도우 10 버전부터는 프리패치가 압축되어 파일 헤더에 MAM 이라는 decoding text가 있지만 이 프로그램은 압축을 미리 해제한것인지, window 10 이하의 버전인지는 ..