old

codegate 2012 - forensic 100 [office lnk 파일 분석]

nopdata 2017. 3. 30. 01:49
keyword : office lnk 파일 분석

포렌식은 문제의 지문을 먼저 이해해야 한다.
위 지문을 대강 요약하면, 회사 재정정보를 훔치기 위해 IU가 잠입을 하였고, CFO의 컴퓨터를 공격하는 시나리오이다.
IU는 악성코드를 삽입했었고, 이를 모두 제거하였다. 문제의 답은 IU가 훔친 파일의 이름과 전체 경로를 알아내야 하는 문제이다.

제공된 파일은 압축 파일이며 압축을 풀면 일반적으로 윈도우 계정 정보가 담겨져 있는 Users폴더와 그 하위만 존재한다.

계정은 proneer라는 계정이 있지만 documents폴더나 desktop에는 특이한 데이터가 존재하지 않는다.
윈도우의 경우 특별한 셋팅을 하지 않는다면 최근 열어본 문서 목록이 저장된다.
이는 User\Appdata\Roaming\Microsoft\Office or ~\Recent 하위를 파악해보면 된다.

이 문제의 경우 Office 하위에 아래와 같은 lnk파일 목록들이 존재한다.


그 중에서 재정정보에 관한 유출이 있었다고 하였고, EXCEL파일이었다고 하였으므로 [Top-Secret]_2011_Financial_deals.LNK가 그 문서에 해당한다.
lnk가 가리키는 실제 경로는 C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx가 된다.

파일 크기의 경우 010 editor를 이용하였다.


해서 답을 만들어보면 C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx|9296 이 되므로 답을 구할 수 있다.

Answer : d3403b2653dbc16bbe1cfce53a417ab1