xcz.kr Prob 22

이번에 풀이할 문제는 22번, 포렌식 문제입니다.

파일을 다운받읍시다.

어,. 확장자가 없네요. 제가 이부분에서 정말 헤맸습니다. 그러다가 정보보안가님이 "어 그거 확장자 해주셔야 열리는거... 아시죠?" 하셔서 아차..싶었어요.

다운받은 후, 우선은 파일의 확장자를 .AD1으로 만듭니다. 이게 어.. ftk의 이미지 마운트한 파일 확장자였나? 그래요.

그 이유는, 우선 파일을 메모장으로 열어보면

ADSEGMENTEDFILE이란 문자열과  ADLOGICALIMAGE이란 문자열이 보입니다.

네이버에서 검색하면, http://blog.naver.com/trfwodnr?Redirect=Log&logNo=50153990890

여기에 정보가 있습니다. Ftk imager로 AD1덤프를 뜨면 나오는 헤더라고 하네요.

그런 후, ftk imager를 열고,

file -> evidence item -> image file 로 하여 파일을 엽니다.

그중 파일을 훑다보면, 이런 파일이 나옵니다.

지금 저희는 노트북 주인의 위치가 필요하니, 훑다보면 어!! 하는 파일이 있을겁니다.

lat=latitude lon=longitude, gps. 모두 장소에 연관된 단어들이죠?

이 파일을 오른쪽 클릭+Export files 로 저장해놓읍시다. 
그렇다면 구글에 GPS ROUTE EDITOR을 쳐서 프로그램을 다운받은 후, 프로그램에 알맞은 확장자(뭐였는지 기억은 안나네요)로 바꿔 열어봅니다.

하지만, 좀 경로가 애매한게 있는데, 저는 관리자님께 물어봤지만 그건 xcz.kr 페이스북 페이지에 들어가셔서 여쭈어보시면 됩니다.

이상입니다. :)