[Dreamhack] - Windows Search(WRITEUP)
이번에는 드림핵의 forensic 문제인 Windows Search 문제를 풀어보도록 하겠다.
이 문제는 windows.edb 즉 windows search 파일을 툴을 이용하여 쉽게 해결할 수 있는 문제이다.
주어진 파일은 아래와 같다.
이 문제를 해결하기 위한 툴은 바로 Winsearchdbanalyzer이다.
https://github.com/moaistory/WinSearchDBAnalyzer
GitHub - moaistory/WinSearchDBAnalyzer: http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html - GitHub - moaistory/WinSearchDBAnalyzer: http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
github.com
이 툴을 사용하면 시스템 내의 파일 정보와 구조를 확인할 수 있기 때문에 flag를 찾아낼 수 있을 것이다.
먼저 Winsearchdbanalyzer을 실행 한 다음 아래 사진과 같이 파일을 지정해준다.
그 다음 시간을 설정해야하는데 아래와 같이 우리나라시간인 UTC+9로 선택해준다.
그 후 이제 Directory tree 부분에 file 있는 것을 확인할 수 있다.
이를 따라 내려가면 User의 desktop에 flag.txt와 함께 flag를 확인할 수 있다.
