ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • [war game] 경찰청은 최근 아동 성폭력…
      2022/Write-Ups 2022. 7. 18. 00:03

      1팀 김나연

       

       

      제공된 파일을 FTK Imager로 열어봤다

       

      Users 중 CodeGate_Forensic 사용자라고 생각하고 찾았지만눈에 띄는 응용 프로그램 폴더가 없어서

       

      Administrator user를 분석하다가 uTorrent 폴더를 발견했다. 

       

      파일 다운로드에 uTorrent를 사용하였다고 생각하고root/Users/Administrator/AppData/Roaming/uTorrent 폴더에 들어가봤다. 

       

       

      • dht.dat 에는 µTorrent가 DHT 네트워크에 연결할 때 사용하는 DHT에 대한 정보가 들어 있습니다.
      • resume.dat 에는 현재 로드된 토렌트 작업에 대한 정보가 포함되어 있습니다.
      • rss.dat 는 모든 RSS 관련 설정을 저장하고 이전에 다운로드한 토렌트 작업의 기록도 보유합니다. 이 파일은 RSS 다운로더 를 사용하는 경우에만 생성됩니다 .
      • settings.dat 에는 µTorrent의 대부분의 설정이 포함되어 있으며 통계 대화 상자에 나열된 정보도 포함되어 있습니다.

       

      위 파일들의 내용이다. 

      처음에 resume.dat을 분석해야하나 싶어서 검색해봤는데

      settings.dat 에는

      새 다운로드를 저장할 위치, 완료된 다운로드 이동, .torrent 파일 저장 및 프로그램이

      .torrent 파일을 자동으로 로드할 수 있는 위치가 포함된다고 한다. 

      resume.dat, store.dat는 설치 즉시 생성되나, settings.dat는 μTorrent Web을 실행하여 파일을 1회 다운로드 받으면 생성됨.

      https://robertpearsonblog.wordpress.com/2016/11/11/utorrent-and-windows-10-forensic-nuggets-of-info/

      https://ccibomb.tistory.com/922

       

      그럼 settings.dat을 분석해보자. 

       

      μTorrent Web의 경우, .torrent 파일, settings.dat 파일, .ses_state 파일이 BEncode로 작성되어

      BEncode 디코딩 도구를 이용해야 한다고 한다.

      BEncode(B-encode) : P2P 파일 공유 시스템인 BitTorrent에서 구조화된 데이터를 저장하고 전송하기 위해

      사용되는 인코딩 방식

       

      https://sites.google.com/site/ultimasites/bencode-editor

      files->구글드라이브에서 다운로드 받았다.

       

       

      【 settings.dat 파일 분석 by BEncode Eidtor 】

      ◦ μTorrent Web의 settings.dat 파일은 프로그램 1회실행 후 생성됨

      ◦ settings.dat 파일은 μTorrent Web의 환경설정 데이터를 저장함

      ◦ 자동실행 여부, 새로운 다운로드 시 파일저장 위치 등 확인가능함

       

       

      BEncode Editor로 settings.dat 파일을 보기 위해

      settings.dat파일을 export한다. 

       

      BEncode Editor로 settings.dat을 열었을 때

      다운로드시 파일을 저장하기 위해 사용자가 설정 한 위치를 확인할 수 있다.

       

      다운로드 받은 경로로 가면

      파일이 하나 있다. 

      이게 토렌트로 다운받은 파일 같다.

       

       

      다운로드 받은 시간을 찾아야 하기 때문에

      이 파일 역시 추출해서 

      다운로드 시간을 확인해보자.

       

      다운로드 시간은 2012년12월24일 월요일, 오후 1:45:43

       

      SHA1("md5(052b585f1808716e1d12eb55aa646fc4984bc862)_2012/12/24_13:45:43")

       

      HashCalc 프로그램으로

      052b585f1808716e1d12eb55aa646fc4984bc862 파일 자체를 MD5로 변환하니

      449529c93ef6477533be01459c7ee2b4이 나왔다. 

       

      449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43

       

      MD5 돌린값을 대문자로 바꿔야지 답이 나온다

      '2022 > Write-Ups' 카테고리의 다른 글

      [ctf-d] DOS 모드에서는...  (0) 2022.07.18
      [war game] 거대한 마약 조직을 잡으려는...  (0) 2022.07.18
      [ctf-d] Graphics Interchange Format  (0) 2022.07.17
      [ctf-d] 저는 이미지에서 어떤 것을...  (0) 2022.07.17
      [ctf-d] 내 친구는 이것이 특별한...  (0) 2022.07.16

      관련글 관련글 더보기

    티스토리툴바