아이유씨가 악성코드를 자신의 컴퓨터로 삽입했다.
CFO의 컴퓨터에서 재무자료를 얻고 excel 파일을 검색한다.
설치된 응용 프로그램을 통해 파일에서 정보를 찾을 수 있었다.
추적을 제거하기 위해 악성코드, 이벤트 로그, 최근 파일 목록 다 지웠다.
훔친 파일의 전체 경로와 파일의 크기를 찾아라
CFO는 14:00시에 사무실에서 나갔다.
hxd로 열어보니까 37 7A BC AF 27 1C ->7zip 시그니처라네
.7z 붙여서 압축 해제하기( ftk imager로 열어서 파악해도 된다. 하지만 결국엔 압축 해제하긴 해야 함 )
엑셀을 열어봤다고 해서 Microsoft\Office에 있을 거라고 생각했다.
여기서 바로 속성값으로 대상의 위치를 파악할 수 있다. 하지만 파일 크기를 정확히 파악할 수는 없다.
[*] 해당 대상 위치가 내 컴퓨터의 위치와 맞지 않기 때문의 속성의 다른 탭으로 이동할 수 없다.
윈도우 아티팩트 분석 도구
MiTeC Homepage
www.mitec.cz
저 둘 복사해서 | 로 붙여서 md5 인코딩하면 된다.
해당 툴 없이 원본 파일 사이즈 구하기
파란색 드래그된 부분이 LNK 파일에서 원본 파일 사이즈에 해당하는 부분이다.
'워게임 > CTF-D' 카테고리의 다른 글
| [Disk] 이 편리한 안드로이드... (0) | 2021.11.15 |
|---|---|
| [Disk] Find Key(slack) (0) | 2021.11.15 |
| [Disk] 누군가 부정행위를 했다는... (0) | 2021.11.15 |
| [Disk] 조개를 찾아 열고, 진주를 찾으십시오. (0) | 2021.11.15 |
| [Disk] 우리는 이 바이너리가… (0) | 2021.11.15 |
댓글