Dominic Repo

31. Perform a Anti-Virus check. Are there any viruses on the computer? ( 안티 바이러스 검사를 수행하십시오. 컴퓨터에 바이러스가 있습니까?) 응? 뭐지 싶었지만 일단 FTK 툴을 이용해 이미지를 마운트 시켜주었다. 그러면 이런식으로 마운트가 된것을 확인해 볼 수 있다. 검사를 진행해보자! 음 좀 많다 !

30. How many files are actually reported to be deleted by the file system? ( 파일 시스템에서 실제로 몇 개의 파일이 삭제되었다고보고됩니까?) Autopsy..짱짱.. 365 근데 1년 365일 라임 맞춘건가 싶다. 먼저 휴지통에 있던 INFO2에 대해 공부를 해보았다. INFO2가 무엇이냐? Vista 이전 버전에서 휴지통의 삭제된 파일들의 정보를 관리하기 위한 목적의 파일이다. 기본적으로 INFO2 파일은 다음의 내용을 포함한다고 한다. 원본 파일 경로 및 이름 (File Record) 휴지통 내의 파일 식별자 (Record Number) 원본 파일이 위치하고 있었던 드라이브의 번호 (Drive Designator) 파일이 삭제된 날짜 및 시..

28. How many executable files are in the recycle bin? ( 휴지통에는 몇 개의 실행 파일이 있습니까? ) 문제만 보면 꽤 쉬운 문제인것 같다. ( http://forensic-proof.com/archives/1834 ) 분석하는 디스크는 XP 이므로 요기에 들어가서 확인해보면 된다. 실행파일은 4개! 29. Are these files really deleted? ( 이 파일들이 실제로 삭제 되었습니까? ) 삭제되지 않았다! ※ 윈도우에서 파일을 삭제할 때에는 실제로 해당 파일을 지우는 것이 아니라 해당 파일의 Meta 정보만($MFT 등) 변경하는 것이다. 그러므로, 삭제를 하여 휴지통으로 이동(폴더 경로 변경)되었다 하더라도 손쉽게 우클릭을 통해 복구를 할 ..

27. Yahoo mail, a popular web based email service, saves copies of the email under what file name? ( 인기있는 웹 기반 이메일 서비스 인 Yahoo mail은 어떤 파일 이름으로 이메일 사본을 저장합니까? ) 26번과 연계해서 mrevilrulez@yahoo.com 통해 키워드 검색을 해보았다. 그 이유는 이 계정으로 이메일을 보냈을 것이기에 이에 해당하는 사본이 있을 것이라고 생각했다. 결과는 다음과 같다. ShowLetter[1].htm 를 Export 하고 열어보았다. 결과는 사본이 맞다! 정답은 ShowLetter[1].htm !

26. Search for the main users web based email address. What is it? ( 기본 사용자 웹 기반 이메일 주소를 검색하십시오. 무엇입니까?) 기본 사용자는 Mr. Evil 이다. 그렇다면 이 사용자를 기준으로 웹 기반 이메일 주소를 검색하라는 것 같다. 먼저 Autopsy에서 Accounts -> Email 쪽 디렉토리가 있길래 확인해 보았다. Accounts는 즉 계정이라는 뜻이다. 마침 여기에 확인해 본 결과 2가지의 결과가 나왔다. 이 둘중 어떤것이 기본 사용자 웹 기반 이메일 주소인지를 확인하는 것이 필요하다 이것저것 뒤져보다가 기본사용자의 메세지를 봐보았다. 보낸자가 iversen이기에 정답은 iversen@vsfts1.fi.uib.no 가 아닌가 ..

25. What websites was the victim accessing? (피해자는 어떤 웹 사이트에 액세스 했습니까?) 피해자라고 해서 생각해 보니 이전 문제와 연계되어지는 문제인 것 같다. 그렇다면 interception 파일을 계속 봐보도록 하겠다. 전부다 뒤져서 접속한 웹사이트를 찾아보니 다음과 같았다. moblie.msn.com www.passportimages.com login.passport.com login.passport.net 그러면 접속한 웹사이트는 2개이다. moblie.msn.com , www.passportimages.com

24. Viewing the file in a text format reveals much information about who and what was intercepted. What type of wireless computer was the victim (person who had his internet surfing recorded) using? (파일을 텍스트 형식으로 보면 누가 무엇을 가로채는 지에 대한 많은 정보가 나타납니다. 피해자 (인터넷 서핑을 기록한 사람)는 어떤 종류의 무선 컴퓨터를 사용 했습니까?) 23번에서 찾았던 파일을 txt로 바꾸어서 확인해 피해자의 무선 컴퓨터의 종류를 확인해보라는 문제이다. 일단 txt로 바꾸어서 확인해 보았다. 좀 깨지긴 하는데 상관없다 정보를 보는데는..

23. Ethereal, a popular “sniffing” program that can be used to intercept wired and wireless internet packets was also found to be installed. When TCP packets are collected and re-assembled, the default save directory is that users \My Documents directory. What is the name of the file that contains the intercepted data? (유무선 인터넷 패킷을 가로채는 데 사용할 수있는 널리 사용되는 "스니핑"프로그램 인 Ethereal도 설치되어 있습니다. TCP 패킷이 ..

22. This IRC program has the capability to log chat sessions. List 3 IRC channels that the user of this computer accessed. (이 IRC 프로그램에는 채팅 세션을 기록하는 기능이 있습니다. 이 컴퓨터의 사용자가 액세스 한 3 개의 IRC 채널을 나열하십시오.) 방금 전 문제에서 힌트가 다 나온것 같다. 로그에서 확인해 볼 수 있다. mIRC 로그 폴더에서 나온 것들중 로그에 채팅기록이 남았던 것을 기준으로 3개를 뽑아보자면 LuxShell , Chataholics, CyberCate 로 뽑아볼 수 있다.

21. A popular IRC (Internet Relay Chat) program called MIRC was installed. What are the user settings that was shown when the user was online and in a chat channel? ( MIRC라는 유명한 IRC (Internet Relay Chat) 프로그램이 설치되었습니다. 사용자가 온라인 및 채팅 채널에있을 때 표시되는 사용자 설정은 무엇입니까?) MIRC 프로그램에서 사용자가 설정한 것을 찾아라는 문제이다. 그렇다면 MIRC관련된 것을 찾으면 알 수 있지 않을까? 대충 이런식이다. 사용자가 온라인 및 채팅에 있을때라고 했으니 이에 해당하는 부분을 찾아보도록한다. Autopsy를 이용해 ..