M4ndU의 만두만두한 블로그

Title
File Deleted

Description
Korean
피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.
아래의 형식에 맞춰 증거를 수집해라.

시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))
ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB))

FTK Imager 로 열어보았다.

파일들을 잘 뒤져보면, s3c3r7t.avi.lnk 파일이 보인다. 해당 파일을 추출했다.

파일 속성을 보면 원본 파일의 경로를 알 수 있다.

이 외의 정보들을 알아보기 위해 010 editor에서 lnk 템플렛을 사용해 분석해보았다.

필요한 시각 3개 모두 찾을 수 있다. 기준이 UTC로 되어있기 때문에 9시간을 더해주어야 한다.

볼륨 시리얼도 확인할 수 있다. 볼륨 시리얼은 리틀엔디안으로 읽어야 해서 D0A8-02A9가 된다.

H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9

authkey : 66f67cd42c58763fd8d58eed6b5bfdba