< 102 - File Wiper >
Description
While analyzing the suspect's PC, I found that several files had been wiped. I need your help on what tool to use to wipe it.
Taget : 2023-04-26T042142_DFC2023-102.7z / Hash(MD5) : DD66FDC3156EBE961CEBF85E223D3B96
Questions
1) When was File Wiping Tool installed? (UTC+0) (50 points)
2023-04-26 01:00:32.841
2) When was File Wiping Tool run? (UTC+0) (50 points)
2023-04-26 04:14:27.974
압축파일을 하나 풀면 폴더 안에 있는 vhdx 파일이 똑같이 나온다.
이를 일단 FTK Imager로 열어주도록 하겠다.
하드 디스크 이미지 파일이기 때문에 add evidence에서 image로 선택하고 열어주었다.
우선 FTK Imager로 열어준 모습이다.
첫 번째 문제가 File Wiping Tool이 언제 설치되었냐고 묻는 문제니까 FTK Imager에서 해당 경로를 찾아주도록 하겠다.
그리고 추가로 file wiping tool이 뭔지 알아봐주었는데 file shredder software program이라고 나왔다.
일단 '파일 설치 시간 기록 레지스트리' 라고 구글링을 해주니까 windows 안에 있다고는 해주었다.
근데 해당 트리에서 windows라고 보이는 게 3개 정도가 있어서 하나하나 들어가주면서 찾아주었다.
다른 윈도우 폴더들을 다 찾아주니까 이런 식으로 설치와 관련된 건 없길래 마지막으로 세 번째 windows를 살펴보니 뭐가 보이기 시작했다.
이 windows 폴더를 보니까 foren(아마 forensic 폴더...)이라는 폴더 안에 fileshredder이라는 프로그램이 설치가 되어있는 게 보인다.
아까 file wiping tool이라고 서칭했을 때 file shredder software program이라고 나왔는데 이게 힌트가 될 거라고 생각했다.
이렇게 보면, Moo0 File shredder라는 프로그램인데 그 설치하는 프로그램인 intaller.exe는 2023-04-26 01:00:32.841이고, file wiping tool 자체인 file shredder 프로그램은 2023-04-26 04:14:27.974이다.
근데 문제에서는 wiping tool이 언제 설치되었는지를 물었으니까 2023-04-26 01:00:32.841이 답이다.
두 번째 문제는 file wiping tool의 실행시각을 묻는 문제다.
이건 저 마지막으로 실행된 시간을 구하는 것 같아서, 설치된 시간이 아니라 실행된 시각인 2023-04-26 04:14:27.974이 답이 된다.
'포렌식' 카테고리의 다른 글
| [포마되 1주차] broken-png (월) (0) | 2024.07.20 |
|---|---|
| DFC 2023 풀이_#103 - A suspicious develop (1) | 2024.06.06 |
| DFC 2023 풀이_#151 - Android Live (0) | 2024.05.30 |
| DFC 2023 풀이_#104 - Fake Voice (0) | 2024.05.30 |
| DFC 2023 풀이_#101 - Where is the starting point of the audio? (0) | 2024.05.30 |
