Question 12

12번 문제입니다.

12. A search for the name of “G=r=e=g S=c=h=a=r=d=t” reveals multiple hits. One of these proves that G=r=e=g S=c=h=a=r=d=t is Mr. Evil and is also the administrator of this computer. What file is it? What software program does this file relate to?(“G=r=e=g S=c=h=a=r=d=t”라는 이름을 검색하면 여러 개의 히트가 표시됩니다. 이 중 하나는 G=r=e=g S=c=h=a=r=d=t가 미스터 이블이며이 컴퓨터의 관리자이기도하다는 것을 증명합니다. 어떤 파일입니까? 이 파일은 어떤 소프트웨어 프로그램과 관련이 있습니까?)

안나온다. 흠 검색을 Greg Schardt 이렇게 수정해서 했더니 나온다!

이것저것 찾아보고 FTK툴을 이용해 문자열로 검색해봤지만 정확하게 알 수 가 없어 추천받아 autopsy 를 다운받아 실행해 보았다.

Key Search 를 통해 보니

이렇게 나온다 그런데 글자수가 너무 작아서 'Extract File'을 통해 파일을 밖에서 열어보기로 했다.

AppEvent.Ev

drwtsn32.log

irunin.ini

이 세 파일을 통해 Greg Schardt 가 Mr. Evil이며 컴퓨터 관리자 라는 것을 찾았다.

연관되어잇는 SW는 뭐지? 계속 삽질하다가 Look@LAN Setip Log.txt 에서 힌트를 얻었다. 

쭉쭉 보다가 Mr.Evil 과 Greg Schardt 에 Look@ 관련 파일이있어 FTK로 확인해 보았다.

경로를 따라가보니 Greg Schardt 는 없고 Mr. Evil만 있었는데 Greg Schardt에 있던 경로에있던것도 Mr. Evil에 있어서 같은 계정이라고 추측해 볼 수 있었다.