[대회 문제 풀이로 이해하는 디스크 포렌식 분석 2강] - Linkfile analyis

이번에는 linkfile forensic이다.(중간중간 windows랑 mac이랑 섞여 나오는데, windows는 가상 머신이다)

 

linkfile은 우리가 아는 바로가기(.lnk) 파일이고, 이 파일을 분석하여 유출 정황 등을 파악할 수 있다.

 

1. Basic linkfile information

 

-lnk의 기본 생성 위치

-C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Start Menu 
-C:/Users/YAMI/AppData/Roaming/Microsoft/Windows/Recent 
-C:/Users/YAMI/AppData/Roaming/Microsoft/Office/Recent

 

-링크파일 offset 내용

2. Linkfile challenge

이제 linkfile 관련 문제를 풀어볼 것이다.

 

- 문제 설명

 

- 찾아야 할 것

1. 훔친 파일 경로
2. 훔친 파일 크기

 

이 문제 풀이 방법은 두 가지이다.

첫 번째는 직접 offset을 분석해서 구하는 것이고, 두 번째는 Link parser 프로그램을 이용해서 푸는 방법이다.

반응형

1. offset 구해서 풀기

 

먼저 lnk파일은 -C:/Users/promeer/AppData/Roaming/Microsoft/Office/Recent 에 있다.(already found)

이 중 분석할 파일은 [Top_Secret] ~~ (엑셀 아이콘) 링크 파일이다.

 

이 파일을 hex로 봤을 때, 다음과 같이 offset을 나눌 수 있었다.

2,3,4는 시간이고, 5번이 파일 사이즈, 1번이 파일 경로이다.

 

파일 사이즈를 빅 엔디언으로 바꾸면 2450이 된다.

계산기로 돌려보면 다음과 같은 파일 사이즈가 된다.

9296byte

그러면 파일 경로와 사이즈가 다 찾아진 걸 확인할 수 있다.

 

2. Link parser 

이번에는 link parser 프로그램을 이용해 볼 것이다.

다음과 같이 link파일을 넣으면 알아서 분석을 해준다.

 

더 정확히 보기 위해서 다음과 같이 csv파일로 확인할 수 있다.

filepath, filesize가 첫 번째로 구한 것이랑 값이 같은걸 확인할 수 있다.