Forensic/CFReDS 30

Question 20

20. List 5 newsgroups that Mr. Evil has subscribed to? ( Mr. Evil이 구독 한 5 개의 뉴스 그룹을 나열하시오.) 의심중..(아니였다!) 여기서 결정적이게 찾은 느낌이다. alt.2600.hackerz , alt.2600.phreakz , alt.2600.programz , alt.binaries.hacking.beginner , alt.dss.hack , alt.hacking 등등 더 많았다. Documents and Settings\Mr. Evil\Local Settings\Application Data\{EF086998-1115-4ECD-9B13-9ADC067B4929}\Microsoft\Outlook Express\ 에 보니 여기에 뉴스 그룹이 다..

Forensic/CFReDS 2019.08.01

Question 19

19. What two installed programs show this information? ( 이 정보를 보여주는 두 설치된 프로그램은 무엇입니까?) 첨에 무슨 소리인지를 몰랐지만 17,18 번 문제에서의 정보를 보여주는 두 프로그램을 찾는 문제다. 이렇게 KeywordSearch로 SMTP, NNTP 다루는 프로그램의 정보는 다음과 같이 좁혀볼수 있었다. 이것을 보고 확신할 수 있었다. 근데 agent라는 프로그램이 없다. 생각해보다가 'Forte Agent'프로그램 이라는 것을 알 수 있었다. Display Name 이라 정보를 보여주는 것 같다 의심중.. NNTP의 정보를 보여주는지는 정확히 모르겠지만 이 프로그램의 레지스트리와 키워드로 검색한 파일 내용에서의 정보를 종합해 보았을때 'Out..

Forensic/CFReDS 2019.08.01

Question 18

18. What are the NNTP (news server) settings for Mr. Evil? (Mr. Evil의 NNTP (뉴스 서버) 설정은 무엇입니까?) Autopsy 의 Keyword Search를 이용해 NNTP와 관련된 것을 하나하나씩 봐보았다. 이 경로로 따라가 보았다. 아직은 잘 모르겠다.. 드디어 삽질을 끝내고 f0332503.reg를 통해 정보를 얻어내었다. Autopsy 기능중에 이렇게 조각의 결과를 볼 수 있었다. 추가로 17번에서 찾았던 곳에서 쉽게 찾아볼수 있었다. 정답 : 서버설정은 으로 되어있었다.

Forensic/CFReDS 2019.08.01

Question 16

16번째 문제입니다! 갈수록 점점 어려워 지는군요.. 16. Find 6 installed programs that may be used for hacking. 번역 : 해킹에 사용될 수있는 6 개의 설치된 프로그램을 찾습니다. 설치된 프로그램 정보의 레지스트리 저장 경로은 여기이다. (참고블로그: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall 이 키 하위 키하고 제어판의 프로그램 및 기능과 같다. 프로그램을 하나씩 검색해보면서 어떤 프로그램인지 확인해 보는게 빠를것 같다. 먼저 123 Write All Stored Passwords 두번째로 Anonymizer 하다..

Forensic/CFReDS 2019.08.01

Question 15

15번 문제입니다! 15. An internet search for vendor name/model of NIC cards by MAC address can be used to find out which network interface was used. In the above answer, the first 3 hex characters of the MAC address report the vendor of the card. Which NIC card was used during the installation and set-up for LOOK@LAN? 번역 : MAC 주소로 NIC 카드의 공급 업체 이름 / 모델을 인터넷으로 검색하면 어떤 네트워크 인터페이스가 사용되었는지 확인할 수 있습니다. 위의 대..

Forensic/CFReDS 2019.07.25

Question 14

14번 문제입니다! 14. This same file reports the IP address and MAC address of the computer. What are they? 번역 : 이 파일은 컴퓨터의 IP 주소와 MAC 주소를보고합니다. 그들은 무엇인가? 참고 : \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurentVersion\Explorer\MountPoints2\ 키이름중에 MAC 이 존재한다고 하는데 \MountPoints2 이 없다! 그렇다면 \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\ : windows에 인식된 하드웨..

Forensic/CFReDS 2019.07.25

Question 13

13번 문제입니다! 13. List the network cards used by this computer 번역 : 13. 이 컴퓨터에서 사용하는 네트워크 카드 나열 참고 블로그 : HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows NT → CurrentVersion → NetworkCards // 네트워크 어댑터 카드와 전화 접속 네트워킹 내용 * ServiceName 카드를 작동시키는데 필요한 드..

Forensic/CFReDS 2019.07.25

Question 12

12번 문제입니다. 12. A search for the name of “G=r=e=g S=c=h=a=r=d=t” reveals multiple hits. One of these proves that G=r=e=g S=c=h=a=r=d=t is Mr. Evil and is also the administrator of this computer. What file is it? What software program does this file relate to?(“G=r=e=g S=c=h=a=r=d=t”라는 이름을 검색하면 여러 개의 히트가 표시됩니다. 이 중 하나는 G=r=e=g S=c=h=a=r=d=t가 미스터 이블이며이 컴퓨터의 관리자이기도하다는 것을 증명합니다. 어떤 파일입니까? 이 파일은 어떤 소프..

Forensic/CFReDS 2019.07.25