[NONamed] 유출된 자료 거래 사건 2

 

USB로 옮겼을 것으로 의심되는 파일...

파일을 입수한 경로...

 

파일 이름을 변경했다고 해서 NTFS니까 $LogFile을 NTFS Log Tracker를 이용해 분석하고자 했다.

 

[$LogFile] 

• NTFS 트랜잭션 로그 파일
• 작업 중 갑작스러운 파일 손실 시 복구를 위해 사용한다.
• 모든 트랜잭션 작업을 레코드 단위로 기록한다.
• 파일이나 디렉터리의 생성, 삭제, 데이터 작성, 파일명 변경과 같은 트랜잭션 작업 내용은 $LogFile의 작업 레코드에 저장된다.

 

$LogFile을 분석하기 위해서 NTFS Log Tracker를 사용한다.

$LogFile, $UsnJrnl:$J, $MFT 파일을 추출해서 NTFS Log Tracker에 넣어 결과값 파일(.db)를 생성해낸다.

 

하지만 뚜렷하게 의미있는 부분을 찾을 수 없었다.

 

 

---

 

파일을 입수했다고 하면 인터넷에서 다운받았을 것이라고 유추할 수 있다. 혹은 전달을 받았거나..

 

%USERPROFILE%\AppData\Local\google\chrome\user data\default\histoy

 

FTK Imager로 열면 User는 대표적으로 cocktail, nonamed가 있다.

cocktail의 History 파일을 분석했을 때는 유의미한 결과를 발견하지 못했다.

nonamed의 History 파일을 분석하니 다음과 같은 결과를 확인했다.

다운받은 파일을 여러 개 확인할 수 있다.

 

ftk imager에서 다운로드 폴더를 보면 위에서 다운받은 것들 중 없는 것들을 확인할 수 있다.

 

그리고 처음에 (시행착오)를 겪었던 NTFS Log Tracker를 사용해서 다시 db 파일을 생성했다.

 

 

그렇게 생성된 db파일을 다시 DB Browser for SQLite을 통해 연다. 

앞서 다운로드받았다고 파악된 파일들을 필터링해서 검색했다.

Confidential_Doc.hwp가 todaysmemo.hwp로 파일 이름이 변경된 것을 확인할 수 있다.

이름을 변경한 시간 2020-02-20 17:40:31

 

답:

NND{Confidential_Doc.hwp_todaysmemo.hwp_0220.17:40:31}