[war game] 거대한 마약 조직을 잡으려는...

1팀 김나연

 

 

제공된 파일을

FTK Imager로 열었다. 

 

root폴더의 ProgramFiles를 보다가

앱들을 발견할 수 있었다. 

의미 있어보이는 앱들을 나열해보겠다. 

 

CCleaner: 소거프로그램 중 하나이다. 소거 프로그램이란, 하드디스크에 저장된 데이터를

완전히 지워 소프트웨어적, 물리적 방법으로 복구가 불가능하게 하는 프로그램이다.

인터넷 임시 파일과 같은 파일들을 한번에 삭제하면서 빈 공간까지 소거시키는 강력한 기능을 가진다.

Greenshot: 스크린샷 프로그램..

Skype: 인터넷을 통해 무료로 전화를 걸 수 있는 소프트웨어. 무선 인터넷 접속이 필요. 

영상통화, 음성통화, 채팅 가능

TeamViewer: 원격 접속 프로그램

 

 

문제에서 메일만이 통신 수단이 아니라고 하였으니

위의 앱들 중 통신수단(채팅)으로는 Skype밖에 없다.

 

Skype 관련 폴더를 찾아보자.

 

https://answers.microsoft.com/en-us/skype/forum/all/maindb-file-missing/e935fa2a-723d-4481-8aad-c558e0a239ad

[root]/Users/Charlotte/AppData/Roaming/Skype/live#3acharlotte.may1989

폴더에서 어떤 db들인지 검색하다

main.db가 존재한다는 사실을 알게되었다. 

main.db가 무엇이냐?

 

https://ik4.es/ko/software-de-skype-como-organizar-tu-historial-de-correspondencia/

Skype에서의 통신 기록은 main.db파일에 데이터베이스로 저장된다고 한다. 

Skype 사용자 폴더에 있다. appdata/Skype 폴더 아래 있나보다.

 

그래서 Skype 관련 폴더는 다 찾아보고

검색했는데도 main.db파일은 존재하지 않았다. 

skype.db로 바꼈다고 해서 skype.db도 찾아봤지만 없었다.

 

찾아보니 문제에서 파일의 삭제를 언급해주고

CCleaner라는 앱도 있으니 db를 삭제한 것이 맞는 거 같다.

 

Ccleaner 삭제 파일 경로를 검색해서 찾은 내용이다.

https://extrememanual.net/35154

 

윈도우에서 삭제한 파일은 기본적으로 휴지통으로 이동하며

사용자가 휴지통을 비우면 지운 파일이 완전히 삭제된다. 

사용자 입장에서는 파일이 완전히 사라진 것처럼 보이지만 

사실 삭제한 파일의 위치값만 없어졌을 뿐 파일 내용은 디스크에 숨겨지게 된다.

사용자에게 보이지 않게 지운 파일은 전체 디스크 용량만큼 다른 파일들이 채워지기 전까지 

EaseUS Data Recovery Wizard 같은 복구프로그램으로 복구가 가능하다.

지운 파일을 디스크에서 완전히 지우고 싶을 때 CCleaner의 휴지통 정리 기능을 사용한다고 한다.

 

 

일단 지웠으면 휴지통에 흔적이 남았을거니 휴지통 폴더를 보자.

https://defenit.kr/2019/10/14/Forensic/%E3%84%B4%20Research/Forensics_Analysis_of_Recycle_Bin/

$Recycle.Bin은 휴지통 폴더이다.

 

$RNS7GYR.db와

$INS7GYR.db파일이 있다. 

 

휴지통에서 $I로 시작하는 파일은 삭제된 특정 파일의 메타 데이터를 담은 데이터이다.

$R로 시작하는 파일은 실제로 삭제된 원본 파일이다.

 

FileSize도 $RNS7GYR.db이 더 큰 것을 보니 원본파일임을 알 수 있다.

$I파일과 달리 $R파일은 기존 데이터를 그대로 보존하고 있다. 

 

해당 파일을 추출해서 

DB Browser로 열어봤다.

 

Messages 테이블에서 대화 내용을 볼 수 있었다.

이들은 Details.docx라는 파일을 공유하였다.

 

Details.docx를 찾아보니 당연히 없고

CCleaner로 삭제를 했을 것이다.

 

어렵다..

풀이를 보니 

썸네일은 파일이 삭제되어도 db 형태로 미리보기 형태로 존재해서

파일의 유무를 확인할 수 있다고 한다. 

따라서 폴더의 미리보기 설정으로 저장되는 미리보기 캐시 파일(thumbcache)를 보면 된다.

 

What is Thumbcache file?

Thumbcache files are databases that are native to Windows Vista, Windows 7, Windows 8, Windows 8.1, and Windows 10 systems. They contain thumbnail images of various content on your system. When you hover your mouse over an image in a folder, for example, a thumbnail preview of that image is generated.

 

 

root/Users/Charlotte/AppData/Local/Microsoft/Windows/Explorer

경로에 Thumbcache파일들이 있다.

Thumbcache 파일들을 추출하고

Thumbcache Viewer로 썸네일을 본다.

 

 

Confidential 문자를 가진게

Details.docx의 썸네일인가보다.

 

Flag 값은 썸네일 안에 있는 값으로 제출하였다.