이번에 풀어볼 문제는 N0named wargame 문제 중 하나인 infect문제를 풀어볼 것이다. 아래 링크를 클릭하면 N0named사이트에 연결됩니다.
일단 문제를 풀기 전에
FTK Imager - AccessData (포렌식 작업에서 발생될 수 있는 사고를 방지하기 위해 미디어 이미지를 복제하는데 사용됨.)
위 프로그램이 필요합니다.
주어진 파일을 FTK로 보면 nonamed라는 사람을 제외하고 cocktail이라는 사람이 한 명 더 보인다.
이제 동거자의 이름을 알았으니 계정이 삭제된 시각을 알아내야 하는데 이번 주차에 배운 윈도우 이벤트(windows eventlog)를 활용하면 되겠다.
이벤트 로그에 관한 내용은 kali-km.tistory.com/entry/Windows-Event-Log-1 를 참고
이번 문제에서 사용할 것은 삭제된 사용자 계정이 삭제된 시각을 알아야 하기 떄문에 4726을 이용
위에서 구한 동거자의 이름과 로그된 날짜를 바탕으로 flag를 작성해 문제를 풀면 끝~~
'Security > Forensic Problem Solving' 카테고리의 다른 글
| [Forensic] Suninatas 21번, N0Named wargame MagizIMAGE (0) | 2022.04.21 |
|---|---|
| [Forensic] N0named wargame [B] 유출된 자료 거래 사건[2] 문제 풀이 (0) | 2021.01.28 |
| [Forensic] N0named wargame [C]우리의 추억들 문제 풀이 (0) | 2021.01.28 |
| [Forensic] N0named wargame infect 문제 풀이 (1) | 2021.01.22 |
