[ctf-d] 판교 테크노밸리 K기업에서… #1

문제

풀이

사용한 툴

FTK Imager, ESEDatabaseView

문제에서 용의자의 인터넷 사용 패턴을 본다고 했으니까 History를 봐야 겠다고 생각했다.

C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default\

보통 위 경로의 History에서 인터넷 사용 기록을 볼 수 있는데 저 경로에 맞는 게 없어서 다른 방법을 찾아봐야 했다.

크롬으로 접속한 게 아닌가?

 

Index.dat

바이너리 파일로, 인터넷 익스플로러로 접속하면 기록되는 파일이다.

방문한 URL, 방문 횟수 등을 기록하고 FTK나 EnCase 도구를 사용해야 볼 수 있다.

Windows7 이전 버전에서의 IE9, 또는 그 이하는 Internet Cache, Cookies, History 폴더에 위치해 있는데 지금 문제고 받은 받은 파일에서는 찾을 수 없었다. (2012년도면 윈7 맞는데..?)

 

죄다 Ink 파일만 있고.. 아니면 desk.ini 파일이거나 아아아

 

Index.dat과 비슷한 역할을 하는 파일이 WebCacheV01.dat이다.

C:\Users\(UserName)\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

찾았다!

IE10 이상일 때 위 경로에서 찾을 수 있다.

 

*Index.dat

 

WebCacheV?.dat 파일은 ESEDatabaseView라는 도구를 사용해 분석하면 된다.

ESEDatabaseView - Digital Forensic Wikipedia

 

 

Container_2에서 history 정보를 확인할 수 있다.

사용자가 방문한 웹사이트 접속 정보 중 우리가 알아야 하는 건 가장 많이 접근한 사이트 URL 이므로 AccessCount에 주목해야 한다. 

519회 접근했음을 알 수 있다.

속성 정보에서 url을 확인할 수 있었다.

 

정답