[xcz.kr] Prob 36

1팀 정유진

 

문제에서 주어진 파일을 다운받는다.

7z로 압축되어 있다.

그대로 압축해제해서 FTK Imager로 확인한다.

다른 분들 푼걸 봤는데 바로 Recent파일 확인하더라고요

저는 AppData 파일 봤는데. 허허

avi 파일이 있길래 추출해서 봅시다

파일의 경로가 나온 것을 알 수 있습니다.

링크파일 분석을 위해 필요한 툴을 깔아줍니다.

링크파일 분석하면 파일 정보 알 수 있다던 논문 봤었는데

문제에서 보니 반갑^^습니다

 

 

왜 링크파일을 분석하냐면 문제에서 요구하는 정보가 모두 담겨있기 때문입니다!

아무거나 눌러서 열었더니 바로 시간 정보가 나옵니다

볼륨 시리얼 찾는 법은 몰라서

Volume~ 써있는 것들 찾아봤습니다.

 

총 구한 것들은

 

원본 경로 H:\study\s3c3r7.avi

생성 시간 10/16/2013 04:52:10
쓰인 시간 10/16/2013 10:37:47

접근 시간 10/16/2013 14:24:50

(여기에 9시간씩 더해준다.)

볼륨 시리얼 D0A8-02A9

 

이때 볼륨 시리얼은 리틀 엔디안 방식으로 해야한다고 한다.

 

 

 

 

문제에서 제시한 틀에, 구한 정보를 나열해보면

H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9

 

MD5값 구해준다.

짠!