이번에 풀어볼 문제는 N0named wargame 문제 중 하나인 [C]우리의 추억들문제를 풀어볼 것이다.
아래 링크를 클릭하면 N0named사이트에 연결됩니다.
FTK Imager - AccessData (포렌식 작업에서 발생될 수 있는 사고를 방지하기 위해 미디어 이미지를 복제하는데 사용됨.)
Thumbnail Database Viewer(DB에 존재하는 썸네일을 읽을때 사용)
위 2 가지 프로그램이 필요합니다.
위의 파일을 다운로드 받고 압축을 풀면 아래와 같은 파일들이 보입니다.
먼저 AD1파일이 보이므로 FTK Imager을 사용해 일단 열어본다.
문제에서 실수로 중요한 사진들을 지웠다고 했으니까 휴지통에 파일이 들어가 있을 확률이 있어 root/Recycle.Bin/에서 휴지통에 있는 항목들을 살펴본다.
하나 하나 살펴보면 고양이 사진, 깃발 사진, 4차 산업혁명 사진 등등 다양한 사진들이 있는데 위 그림을 보고 이 문제 풀이의 힌트를 얻었다.
바로 윈도우에 미리보기 기능을 이용한 썸네일은 원본 파일이 삭제되어도 그대로 남아있다는 것이다.
whitesnake1004.tistory.com/285
썸네일 포렌식(Thumbnail Forensics)
썸네일(Thumbnail)은 큰 그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것이다. 썸네일은 다양한 응용프로그램에서 사용하고 있지만 사용자가 가장 쉽게 접할수 있는
whitesnake1004.tistory.com
위 블로그에서 썸네일로 가는 주소가
Users/AppData/Local/Microsoft/Windows/Explorer 이라는 것을 확인하고 FTK에서 들어가 보았다.
위와 같이 db에 썸네일들을 확인하고 이것들을 보기 위해 Thumbnail Database Viewer를 사용한다.
그림 위와 같이 플래그와 함께 아까 보았던 깃발, 4차산업혁명, 고양이 사진들이 있는 것을 확인 할 수 있다.
'Security > Forensic Problem Solving' 카테고리의 다른 글
| [Forensic] Suninatas 21번, N0Named wargame MagizIMAGE (0) | 2022.04.21 |
|---|---|
| [Forensic] N0named wargame [B] 유출된 자료 거래 사건[3] 문제 풀이 (0) | 2021.01.28 |
| [Forensic] N0named wargame [B] 유출된 자료 거래 사건[2] 문제 풀이 (0) | 2021.01.28 |
| [Forensic] N0named wargame infect 문제 풀이 (1) | 2021.01.22 |
