Forensic => You_Must_Logoff


https://drive.google.com/open?id=19p1Nqf5hTxB7XHHBETJDwcGm673U1D_f

위 구글 공유 파일이 살아 있다면 다운 받도록 하자.

 

 

위 파일을 다운 받고 FTK Imager 툴로 분석을 했다.
포렌식 문제는 몰라서 동방에 있는 포렌식 잘하는 후배에게 도움을 받아 분석을 시작했다.

 

 

 

 

위 파일을 열면 FTK Imager에 아래와 같이 나온다.

 

 

문제를 다시 읽어보면 ‘의심 계정’, ‘Backdoor’ 를 찾는 것이다.

현재 os에서 계정을 보기 위해 home 디렉토리를 보면 5개의 계정이 존재하는 것을 알 수 있다.

(여기서 backdoor를 찾는데 시간좀 걸림..)

삽질은 버리고 풀이만 보면 Waterman이라는 디렉토리에 …. 이라는 폴더가 있는데, 안에는 이상한 파일이 하나 있다.

 

위 파일이 Backdoor 파일이다.
의심계정 :  Waterman
Backdoor : .c0ll1iy

마지막으로 파일 접근 변경시간을 알아야 하는데, FTK Imager에서 나오는 시간은 198702191205 라고 나와있지만
실제로 위 파일을 덤프 떠서 윈도우에서 확인 해보니 198702190905 로 시간이 달랐다.

 

후배 말로는 FTK imager 에는 UTC 설정이 한국 시간을 기준으로 설정이 안되어서 시간이 다르다고 한다.
혹시 이유를 알고 계신 분은 댓글로 남겨주세요!

 

암튼 모든 증거를 정리하면

의심계정 :  Waterman
Backdoor : .c0ll1iy
시간 : 198702190905

 

 

HCAMP{Waterman_.c0ll1iy_198702190905}