evidence.001 파일을 다운받아서 확인해보니 이미지 파일인 것 같았다.
그래서 FTK 툴을 사용해서 열어보았다.
이렇게 폴더 이름을 보다가 몇개의 폴더들에서 사진들을 확인할 수 있었는데
그 중 가장 의심스러웠던 img는
S-Companysecurity.pdf 파일이었다.
이름부터 내부문서 느낌 뿜뿜
드롭박스를 통해 업로드 한 것 같고 의심되는 파일도 찾았으니
이제 업로드 시간을 확인해야한다..
캐쉬파일에 업로드 시간기록이 남아있을 것 같은데
구글링으로 조금 찾아보니 드롭박스 동기화 시간 ?? 같은것들이 cache.db에 기록된다고 한다.
db 분석은 DB Browser for SQLite으로 했다.
앞서 의심되는 파일이 있었던 tim_folder를 선택한 후 오른쪽 데이터를 추출하여 .plist확장자로 저장했다.
plist파일 : OS X, IOS 프로그래밍에 사용되는 객체 직렬화 파일로, 사용자 설정이나 어플리케이션 정보 등이 저장된다.
이 파일을 plist_viewer로 열어보면
이렇게 나오는데 문제에서 필요로하는 부분은 S-Companysecurity.pdf 부분이니까 이부분을 검색해본다.
그러면 시간 관련 데이터가 나오는데 시간 표현방법이 알아볼 수 없게 되어있어서
DCode로 돌려봐야한다.
이렇게 두가지가 나오는데 가장 최종 업로드 시간은
Thu, 27 December 2012 17:55:54 +0900 임을 추정할 수 있다.
이것을 키포맷에 따라서 바꿔주고
넣어보면
정답~
'FORENSIC STUDY > Writes-up' 카테고리의 다른 글
| DigitalForensic with CTF basics (0) | 2020.10.05 |
|---|---|
| DefCoN#21 #1 (0) | 2020.10.05 |
| DigitalForensic with CTF 판교 테크노밸리 K기업에서...#2 (0) | 2020.09.27 |
| DigitalForensic with CTF 판교 테크노밸리 K기업에서...#1 (0) | 2020.09.19 |
| DigitalForensic with CTF 이벤트 예약 웹사이트를 운영하고...#C (0) | 2020.09.19 |
