keyword : torrent 분석, bencode editor, 증거물 찾기
url :
아동 음란물에 대한 조사를 하라는 문제이다. 제공되는 파일은 NTFS파일이며, Users하위만 존재한다. 문제 출제를 위해 다른 부분은 제외 시킨 듯 하다.
NTFS 전체를 주었으므로, 당연히 MFT도 있었다.
먼저 FTK로 열어 경로를 대충 훑어 보았을 때, Public계정의 Desktop폴더에 utorrent.lnk가 존재하는 것을 파악하였다.
MFT Logfile을 분석 하였을 때, 어떠한 특정 영상 파일이 존재하지 않는 것으로 보았을 때, 문제 출제 시 영상 파일의 존재는 남기지 않은 듯 하였다.
다른 파일 공유 프로그램은 확인하지 못하였으므로, 웹 브라우저를 통한 음란물을 받았거나 utorrent을 이용하였다고 판단 하였으며 utorrent에 대한 조사를 하였다.
MFT가 존재하였으므로 analyzeMFT를 통해서 MFT목록을 추출한 후에 utorrent의 위치를 파악하였다.
Administrator/AppdData/Roaming/uTorrent하위에 utorrent관련 데이터가 존재하는 것을 파악하여 이 부분을 조사했다.
uTorrent의 Cache에 뭔가 남아있을 줄 알았으나 특별한 데이터는 찾지 못하였고, settings.dat에 codegate계정에 관한 정보가 있었다.
CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\~
uTorrent을 통해서 어떠한 프로그램이 startup메뉴에 등록이 된 것 같았으며 이 부분을 찾아 다시 조사를 했다.
하지만 위치를 가 보았을 때 다른 데이터는 찾을 수 없었고 위와 같은 파일 하나를 찾을 수 있었다. 데이터의 내용으로는 torrentrg.com이 들어가 있었는데 이 사이트는 아직도 공개되어 있는 torrent공유 사이트 중 하나이다. 따라서 이 파일에 어떠한 증거물이 들어 있다는 것 까지는 특정하였으나 어떠한 데이터인지는 파악하지 못하였다.
write up을 보니 이 파일은 seed파일이며 이 파일이 증거물이기 때문에 이 파일의 해쉬값을 답으로 제출하면 된다.
Answer : 449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43
++++
위에서 settings.dat을 그냥 일반 editor로 보았으나 따로 Bencode Editor로 보면 보기 편하다고 한다.
추후 torrent의 관련 문제를 파악하였을 때, 다음 파일은 seed 파일이므로 참고하도록 하자. (추후 fileformat관련 문서가 있을 경우 분석이 필요)
'CTF | wargame' 카테고리의 다른 글
| codgate 2013 - forensic 100 (sqlite분석, plist분석) (0) | 2017.03.30 |
|---|---|
| Sharif 2016 / misc 150 Lost Voice (ffmpeg, mp4 frame 추출) (0) | 2017.03.30 |
| codegate 2013 - forensic 300 (docx 분석) (0) | 2017.03.29 |
| codegate 2013 - forensic 500 (R-Studio 카빙, Logical File Hash) (0) | 2017.03.29 |
| codegate 2011 - forensic 100 (카빙, foremost) (0) | 2017.03.29 |