2023 DFC 102번 풀어보자

Description While analyzing the suspect's PC, I found that several files had been wiped. I need your help on what tool to use to wipe it.

용의자의 PC를 분석하던 중 여러 파일이 삭제된 것을 발견했습니다. 삭제할 도구에 대한 도움이 필요합니다.

 

Questions

1)  When was File Wiping Tool installed? (UTC+0) (50 points)

2)  When was File Wiping Tool run? (UTC+0) (50 points)

1) 파일 지우기 도구는 언제 설치되었나요?
2) 파일 지우기 도구는 언제 실행되었나요?

---

일단 7z 파일을 압축해제하면 이 vhdx 하드디스크 이미지 파일이 나타남. 이걸 ftk 에 넣어보자.

파일 지우는 '프로그램'이라고 했으니 이게 굉장히 유용하게 쓰일 것 같은 느낌적인 느낌

 

이것도 참고해서 ftk를 살펴보자

appcompat에서 바로 AppLaunchDic을 찾아버림

(다행히 포인트가 낮은 문제라 바로 보이는걸까??)

수상한 이름 발견! FileShedder(=파일파쇄기)

 

 

1)  When was File Wiping Tool installed? (UTC+0) (50 points)

2023-04-26 01:00:32.841

 

문제 1번의 답은 찾은듯.

 

그럼 이 프로그램은 언제 실행되었을까?

당장 ActivitiesCache를 찾아보자.

import 해서 내용을 보겠습니다. 사용할 도구는 sqlite

헉 혹시 이 두개인걸까

앗 검색해보니 밑에 4개가 더 있었군.... 이중에 어떤거지?

 

일단 언제 실행되었는지 묻는거니까 맨 처음 실행된걸 말하는걸까?

그러면 LastModified Time : 1682470833

2023-04-26 01:00:33 이 시간인가 보다.

근데 나머지 5개의 기록은 뭘까??

GPT에게 물어보았다.

앗 저 6개 중에 첫 블럭 2개는 Installer의 실행이었다.

나머지 4개가 실제로 실행했을 때 나타난 흔적으로 보이는데, 그럼 1682470833 이게 아니라,

1682470867 이게 맞는걸까? -> 나머지 4개 중 맨 처음의 Last Modified Time

그으으러면 2023-04-26 01:01:07 이게 정답인건가 보다.(아니었다)

 

엥 근데 생각해보니 

처음에 계산했던

1)  When was File Wiping Tool installed? (UTC+0) (50 points)

2023-04-26 01:00:32.841

이거랑

FileShredder.exe Installer 실행시간 2023-04-26 01:00:33.0000000 Z

얘네 둘이 왜 시간이 다르니...

뿐만 아니라 실행 시간도 PcaAppLaunchDic.txt와 값이 다르다. 
이게 무슨일이야!!!

그렇게 되면 정답은  2023-04-26 01:00:33.0000000 Z 이게 되어야 하는데,

C:\Users\foren\Downloads\Moo0 FileShredder v1.23 Installer.exe|2023-04-26 01:00:32.841
C:\Program Files (x86)\Moo0\FileShredder 1.23\FileShredder.exe|2023-04-26 04:14:27.974

슈포스에서 제공하는 깃허브의 풀이를 참고하면 이 위의 두 숫자가 각각 1) 2)의 정답이라고 한다.

즉, PcaAppLaunchDic.txt 에서 제공한 데이터가 곧 정답이라는 건데,

왜 ActivitesCache의 정보가 주가 되지 않았을까?

그 이유는 해당 보고서의 뒷부분에 나온다.

 

라고 하는데....

즉, ActivitiesCache.db의 내용은 실행 시간 증거가 아닌 실행중인 도구의 활동 시각 증거이기 때문에 정확한 답이 아니라는 것.

ㅇㅏ.... 포렌식 어렵다..

정확히는 이해하지 못한채로 이상 2023 DFC 102번 풀이를 마치겠다.

 

포렌식은 너무 어려워