-
0608 [XCZ] PROB222020/Write-Ups 2020. 6. 6. 04:20
목요일팀 김지원
[xcz] PROB22. 포렌식 문제 길에서 주운 노트북의 주인을 찾아주는 문제이다.
인증키 형식인 '출발지_거쳐가는곳_최종도착지' 를 보니, 위치 정보를 파악해야겠다는 생각이 들었다.
사진에는 잘렸지만 아래에 관련 파일을 다운로드 받을 수 있는 링크가 있다. 파일을 먼저 다운 받았다.
다운받은 파일. notebook이라는 이름은 있지만 확장자를 알 수가 없는 상태이다.
확장자를 파악하기 위해 HxD 프로그램을 실행시켰다.
HxD로 파일을 열었다. 익숙한 .png나 .jpg 형식이 아님을 알 수가 있다.
Decoded text 에 'ADSEGMENTEDFILE'라고 써있는 걸 확인할 수 있는데,
검색을 해보니
'Access Data' 에서 제공하는 'FTK imager' 으로 한
디스크 덤프 작업에서 확장자를 AD1로 지정해주면 생기는 파일이라고 한다.
(디스크 덤프: 메모리에 탑재되어 있는 내용을 아무런 형식도 없이 바이트 형태로 출력하는 것)
문제를 해결하기 위해서 FTK Imager를 다운받았다.
https://marketing.accessdata.com/imager4.3.1.1
FTK Imager 4.3.1.1
United Kingdom Office 5 Merchant Square, Room 106 London, W2 1AY UK
marketing.accessdata.com
FTK Imager를 실행한 모습. notebook의 확장자를 .ad1로 바꾼 후 FTK Imager로 열었다.
팥빙수 사진. 우리가 찾는 정보와는 상관이 없는 사진도 들어있다.
계속해서 살펴보았다.
notebook.ad1 파일에서 발견한 수상한 파일. GPS라고 써있는 것을 보니, 우리가 원하는 정보를 얻을 수 있을 것 같다.
FTK Imager에서 해당 파일을 추출했다. 
확장자를 알 수 없는 상태 확장자가 없는 상태로 파일이 추출되었다.
일단 추출된 파일을 두고, 파일 안에 써있던 주소로 들어가 보았다.
GpsNote.NET
릴리즈 노트 작년은 감사하게도 너무 바쁜 한해를 보냈습니다. 그 탓에 GPS Route Editor에는 신경쓸 여력이 없었습니다. 아무래도 올해도 작년처럼 계속 바쁘지 않을까 싶은데, 여력되는대로 간간��
www.gpsnote.net
위치 정보를 분석해주는 툴을 다운받을 수 있는 주소였다.
GSP ROUTE EDITOR를 실행시킨 모습. 확인해본 결과, 이 툴에서는 .GPX 파일을 불러올 수 있다.
확장자를 바꿔주었다. 
추출한 파일을 불러 온 모습. 파일을 열어보니 노트북 주인의 이동경로가 나타나있다.
확대해보니 출발지가 공덕역으로 나온다. 출발지: 공덕역
GONGDEOK
중간에 김포국제공항에 들른 모습. 거쳐간 지점: 김포국제공항
GIMPOINTERNATIONALAITPORT
도착지는 애매하긴 하지만 제주국제공항이다. 도착지: 제주국제공항
JEJUINTERNATIONALAIRPORT
따라서 인증키는 GONGDEOK_GIMPOINTERNATIONALAITPORT_JEJUINTERNATIONALAIRPORT
자신있게 틀렸다... 더 자세한 주소를 넣어야되는 것 같아서 도착지를 동부렌터카로 넣어봤지만 답이 아니었다.
검색을 해보니, 문제가 만들어진 이후에 GPS에서 도착지가 사라졌다고 한다.
그래서 진짜 인증키는
GONGDEOK_GIMPOINTERNATIONALAITPORT_7-ELEVEN
클리어! 문제가 만들어진 시점까지 고려해야하는 문제였다.
노트북을 주우면 포렌서 친구가 아니라 경찰서에 가져다주자!'2020 > Write-Ups' 카테고리의 다른 글
0608 [DigitalForensic with CTF] GrrCON 2015 #2 (0) 2020.06.06 0608 써니나타스: 포렌식 15 &19 (0) 2020.06.06 0608 [ctf-d] basics (0) 2020.06.05 0608 Suninatas Forensic 15번 (0) 2020.06.04 0608 Suninatas Forensics #26 (0) 2020.06.04