DigitalForensic with CTF 판교 테크노밸리 K기업에서...#1

 

#1 : 용의자가 가장 많이 접근했던 사이트의 URL은?
      KEY Format : URL(http://aaa.bbb.cccc/)

 

폴더 속에는 user에 대한 정보들이 있었는데 그중 7ester가 의심되어 들어가 보았다.

 

웹 사이트 접근 목록은 웹 캐시에 남아 있다.

하지만 어떤 브라우저를 이용해서 웹 사이트에 접근 했는가에 따라서 웹캐시가 달라지면서 분석툴도 달라지기 때문에 먼저 어떤 브라우저를 이용해서 접근했는가를 확인해 보아야 한다.

 

<username>\AppData\Local 에 있는 폴더를 분석 해 보면 어떠한 브라우저를 사용하는지 알 수있다.

 

*Google Chrome : <username>\AppData\Local\Google\Chrome

Apple Safari : <username>\AppData\Local\Apple Computer\Safari 

의 폴더가 존재하다면 각각 크롬과 사파리 브라우저를 사용한 것이라고 한다.

 

파일들을 보아하니 Internet Exploror를 사용하는 것으로 추정된다.

 

<username>\AppData\Local\Microsoft\Windows\WebCache 에 있는

WebCacheV24.dat 파일을 IE10Analyzer 툴을 이용해서 분석을 해봐야할 것 같다.

여기서 History는 사용자가 웹 사이트에 기록한 정보들을 보여준다.

Access Count는 방문 횟수, AccessTime은 방문 시간, URL은 방문한 URL을 나타낸다.

 

확인해보면

519번으로 가장 많이 방문한  http://www.hanrss.com/를 확인 할 수 있었다 !

 

키 포맷에 맞춰서 바꾸준 뒤 확인 해보면

정답 ~