판교 테크노밸리 K기업에서… #1~#2

이번에 풀어볼 문제! 문제 제목에 '판교'라고 들어가 있어서 더 풀고 싶었다. 1번에서 다운받은 파일로 2번 문제의 답까지 같이 찾아내야 한다. 파일을 다운받으면 7z 파일이 받아진다.

1번 문제는 두 가지를 알아내야 한다.

- 용의자가 가장 많이 접근했던 사이트(URL)

- 위의 URL에 마지막으로 접근한 시간

두 가지 정보를 알아내기 위해 FTK Imager로 파일을 열어봤다.

 

많은 폴더가 존재했다. 하나하나 열어보면 들어 있는 파일은 별로 없다. 근데 상위 폴더 이름만 보면 처음 들어보는 게 딱 하나 보인다.

나머지 사용자는 평범해 보이고... 의심가는 '7ester'라는 사용자를 조사해보기로 했다.

인터넷 URL을 찾아야 하고, Key Format은 http~...라고 했으니 http로 시작하는 주소가 아닐까 생각했다. 그리고 평소 사람들이 많이 쓰는 브라우저인 Chrome 폴더는 따로 보이지 않았다. 대신 Internet Explorer라는 폴더가 존재했다.

언제적 인터넷 익스플로러인지 모르겠지만 조사해보자!

https://www.foxtonforensics.com/browser-history-examiner/internet-explorer-history-location

위 사진의 경로를 참고해서 분석했다.

 

Recovery > Active 폴더의 dat 파일에 hanrss 사이트가 많았다...!

 

그리고 Last Active라는 폴더를 발견했다. 여기도 http://www.hanrss.com/ 발견. 일단 메모해두었다. 자주 들어간 게 맞는 것 같은데...

하지만 확실한 근거를 찾아내야 되기 때문에 뭐가 많이 접속한 URL인지 잘 모르겠어서 구글링을 한 결과 'IE10Analyzer'라는 툴이 있다고 한다.

http://moaistory.blogspot.com/2016/08/ie10analyzer.html

IE10Analyzer

 

 

IE10Analyzer는 dat 파일 분석을 제공하는데 일단 나는 Internet Explorer 폴더를 통째로 export 했다. 이 안에 있는 dat 파일을 분석한다.

...

ㅠㅠ 근데 이 파일을 분석하는 게 아니었는지... 아니면 내가 못한 건지 오류가 계속 나왔다. 그래서 다른 파일을 더 찾아보다가 아까 봤던 사진의 두 번째 방법을 써보기로 했다.

이거...

WebCache를 export 해서 IE10Analyzer에서 열어봤다.

처음에 Using API 했다가 오류 났었다...

Open을 누르면 UTC Time을 설정하는 창이 나온다.

문제에서 요구하는 것과 맞게 UTC+9를 선택한다.

처음에 History(L)도 있고 많아서.. 헷갈렸는데 AccessCount가 가장 높은 URL을 찾아냈다.

결론은 처음 의심했던 URL이 맞았다!

 

+ 근데 궁금해진 것

왜 처음에 Using API를 선택했을 때 오류가 났을까...

 

대가리 긁으면서 생각해봐야겠다...!!!