스마트폰을 임의 제출받아 흔적을 조사한다...
001 이미지 파일 -> ftk imager
막 뒤지다보면 다음과 같이 .plist 파일이 계속 나오고, iTunes니, iPhone이니 하는 문자가 계속 나온다.
이걸 보고 아이폰이라고 판단할 수 있다.
-> plist 파일 모르면 검색해보기
iphone 파일시스템 검색ㄱㄱ
https://medium.com/@Alpaca_iOSStudy/ios-%ED%8C%8C%EC%9D%BC-%EC%8B%9C%EC%8A%A4%ED%85%9C-35e61a85a3f8
iOS 파일 시스템
Android와 다르게 iOS는 그 내부가 잘 보이지 않는 듯하다. 예전 iPod touch를 쓸 때도 문서를 iPod touch에 보관해 마치 저장 장치처럼 쓰려고 했지만 특수한 소프트웨어를 써야지만 할 수 있었던 기억이
medium.com
이 휴대폰에 있는 앱들을 나열해보면 다음과 같다.
Weather.app
CGV2.app
CNN-iPhone.app
Podcasts.app
Dropbox.app
WebViewService.app
HouseKeepingLog.app
MyPainting.app
HarooNotes.app
dayalbumlite.app
문제에서 내부 문서를 외부로 업로드했다고 했으니까 Dropbox.app을 뒤져본다.
밑에 사진과 같이 내부 문서는 S-Companysecurity.pdf로 파악된다.
파일을 알아냈으니 업로드 시간을 알아본다.
db browser for sqlite 를 이용한다.
최신 버전 받으면 튕길 수도 있다. 난 이 버전이 잘 작동했다.
아무튼 열면 다음과 같이 나오는데 tim_folder가 time...이지 않을까?ㅎ
또 이때 다음과 같이 나오는데 <data> 부분이 base64 인코딩되어있으니, 디코딩해서 tim.plist로 저장한다.
그리고 plist editor로 열어보니까 다음과 같은 부분을 발견할 수 있다.
파일 사이즈도 알아낼 수 있다!
이제 시간을 변환한다.
두 시간 중 하나는 최종 수정이고, 하나는 업로드 시간이겟죠
그럼 업로드 시간은 나중 시간이겟죠 Thu, 27 December 2012 17:55:54 +0900
답:
2012/12/27&17:55:54_2012/05/01&17:46:38_S-Companysecurity.pdf_2.1MB
'워게임 > CTF-D' 카테고리의 다른 글
| [Disk] Tommy는 프로그램을 작성했습니다. (0) | 2021.11.14 |
|---|---|
| [Disk] 당신의 친구 Bob은 모의해킹 전문가이다. (0) | 2021.11.14 |
| [Disk] 윈도우 작업 관리자에서 우클릭... (0) | 2021.11.14 |
| [Disk] 판교 테크노밸리 K기업에서… (0) | 2021.11.13 |
| [Disk] 이벤트 예약 웹사이트를 운영하고.. (0) | 2021.11.13 |
댓글