[Disk] 판교 테크노밸리 K기업에서…

http://ctf-d.com/challenges#%ED%8C%90%EA%B5%90%20%ED%85%8C%ED%81%AC%EB%85%B8%EB%B0%B8%EB%A6%AC%20K%EA%B8%B0%EC%97%85%EC%97%90%EC%84%9C%E2%80%A6%20#1

[DigitalForensic] with CTF

---

https://cha4ser.tistory.com/entry/CTF-DDisk-%ED%8C%90%EA%B5%90-%ED%85%8C%ED%81%AC%EB%85%B8%EB%B0%B8%EB%A6%AC-K%EA%B8%B0%EC%97%85%EC%97%90%EC%84%9C%E2%80%A6-12

[CTF-D_Disk] 판교 테크노밸리 K기업에서… #1,2

 

이 풀이만 읽고 넘어가면 될 것 같다. 

---

의심스러운 사용자는 7ester

 

뒤져보다가 주목할만한 곳 발견

7ester\AppData\Local\Microsoft\Windows\WebCache

 

V24.log 열어봤다. 뭔지는 모르겠는데 해당 스트링이 보인다. 다른 .log 파일을 열어봐도 저 이같은 문자열이 있는 것을 확인할 수 있다. 

그렇다면, WebCacheV24.dat을 열어보려고 했는데, 여는 것보다 분석한다는 게 맞는 표현인 것 같다.

 

http://moaistory.blogspot.com/2016/08/ie10analyzer.html 에서 다운로드 받아서 사용하라는데, 난 이걸로 해당 .dat을 열면 오류로 열리지 않는다. (로컬의 .dat은 열린다.)

 

여기서부터는 그냥 풀이 보고 넘어갔다. 

그래도 되는 수준의 문제다. 

 

WebCahceV01.dat에 대해 공부하고 넘어가는 걸로

---

.dat 파일

- 파일을 만든 프로그램과 관련된 특정 정보를 저장하는 일반 데이터 파일

- 용량이 적으면 메모장으로도 열 수 있는 듯... (여기선 안열렸지만)

-  DAT 파일에는 소프트웨어가 처리해야 할 중요한 정보가 들어 있다. DAT 파일에 포함 된 정보는 일반적으로 일반 텍스트 또는 이진이다.

 

 

인터넷 익스플로러 기준 웹 브라우저에 남는 로그파일 및 경로