문제
풀이
다운로더가 아동 음란물을 받는 것을 확인하였다고 했고, FTKImager로 주어진 파일을 열었을 때, Administrator 계정 아래에 uTorrent 폴더가 있었기 때문에 이걸 사용해 파일을 다운받았을 것이라고 생각했다.
uTorrent란?
토렌트란, 파일을 전송하는 P2P 기줄 중 하나로 .torrent파일을 토렌트 클라이언트에 불러와 .torrent 파일에 연결된 파일을 다운 받는 구조이다. 공식 명칭인 '비트 토렌트'는 P2P 파일 전송 프로토콜 중 하나이자 동시에 클라이언트이름이기 때문에 토렌트는 내가 다운받고 동시에 배포자가 된다.
uTorrent는 클라이언트 중 하나라고 보면 된다.
다시 돌아와서, uTorrent를 사용했다면 다운 받은 파일의 확장자가 .torrent일 것이다.
uTorrent의 토렌트 원본 시드 파일 저장 경로는 \Users\계정명\AppData\Roaming\uTorrent 폴더이다. 하지만 [그림 1]처럼 남아있는 .torrent 파일은 없었다.
원본 시드 파일을 저장하는 위치는 사용자 임의로 수정 가능하기 때문에 어디로 다운로드 위치를 설정했는지 살펴볼 필요가 있었다.
Roaming 폴더 내의 settings.dat 파일을 분석¹하면 알 수 있다.
settings.dat 파일은 BEncode Editor²로 분석 가능하다.
BEncode Editor란?
BEncode 디코딩 도구, .torrent 파일은 BEncode로 작성되기 때문에 내용을 보려면 BEncode Editor와 같은 도구가 필요하다.
찾은 자료에서는 새로 다운로드 시 파일을 저장하는 경로의 키값이 save_path 였는데 문제 파일에서는 해당 키가 없었다.
path로 쓸 만한건 저거 뿐이었는데 그런 키값들은 고정이 아닌건가?
=> 위의 dir_xxxx 키들은 사용자가 기본 설정 메뉴에서 특정 디렉토리의 기본 경로를 변경한 경우 표시되는 것이기 때문에 save_path와는 다름 이게 원래 기본 경로 아닐지?
| dir_completed_torrents | 다운로드 완료된 파일을 저장하기 위해 사용자가 설정한 위치 |
| dir_torrent_files | 클라이언트가 다운로드한 토렌트 파일을 저장하기 위해 사용자가 설정한 위치 |
그렇다고 한다.
아무튼 위 사용자가 내려받은 토렌트 시드와 다운로드 파일 모두 C:\Users\CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup에 있는 것으로 확인 됐다.
해당 경로에는 위와 같은 2개의 파일이 존재한다. 052b585f1808716e1d12eb55aa646fc4984bc862 파일에 TorrentRG.com이 있는 걸로 보아 토렌트 관련 파일은 맞는 것 같다.
.torrent 파일의 파일 시그니처 값은 64로 시작하기 때문에,, 손상됐나? 왜저렇게 된 거지
증거 파일은 052b585f1808716e1d12eb55aa646fc4984bc862
md5(Evidence File): 449529C93EF6477533BE01459C7EE2B4
?? 원래 만든 날짜가 더 우선아닌가
Download Time은 2012/12/24_13:45:43
SHA1(449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43)
=> 0100A4CDFDBB366125E736DAD7023527DCBAA5B9
답
왜아니야
소문자로 바꾸니까 됨.
뭐야이거
참고자료
1 | [For.MD] Torrent Forensics.pdf
2 | https://ccibomb.tistory.com/922 글 읽다가 발견, https://sites.google.com/site/ultimasites/files?authuser=0 (다운로드)
나중에 시도할 거
다른 방법으로, IP를 통한 내역을 확인할 수 있다.
https://iknowwhatyoudownload.com/en/peer/
Torrent downloads and distributions for IP 121.53.180.7
Torrent downloads and distributions for IP 121.53.180.7 Asia Republic of Korea Dreamline Co. 121.53.180.7 is your IP address. Computers connected to a network are assigned a unique number known as IP Address. IP addresses consist of four numbers in the ran
iknowwhatyoudownload.com
주어진 파일에서 사용자의 IP를 확인할 수 있는 방법이 있나? 레지스트리를 확인하면 되는데 이게 있나?
BEncode 쓸 때 나오는 경우도 있던데 이건 없었음
'Waregame & CTF > Forensic' 카테고리의 다른 글
| [SuNiNaTaS] Forensic_19 (0) | 2023.01.12 |
|---|---|
| [DH] Windows Search (0) | 2023.01.04 |
| [ctf-d]답을 찾기 위해 돋보기를 써라! (0) | 2022.08.23 |
| [ctf-d] 오른쪽 위의 표지판을 읽을 수... (0) | 2022.08.23 |
| [ctf-d] 조수의 차이만큼 하얗습니다! :D (0) | 2022.07.19 |
