[xcz.kr] 36번 File Deleted

문제

파일을 다운로드하면 file_deleted.7z 압축 파일을 다운로드할 수 있다.

압축을 pc방의 데이터를 얻을 수 있다.

 

이제 FTK Imager을 사용해 보자.

 

파일을 찾아보는 도중 의심가는 파일을 하나 찾았다. s3c3r7.avi.lnk 링크 파일이 있다.

 

총 5가지의 정보를 얻어야 한다. 이제 링크 파일을 분석해보자.

 

1. 경로
2. 만들어진 시간 
3. 마지막 실행된 시간
4. 쓰기 시간
5. 볼륨 시리얼

 

1. 경로 

파일의 경로는 바로 보인다. 

경로 : H:\study\s3c3r7.avi

 

lnk 파일 경험은 없어 Insec security의 정보를 보고 공부했다.

 

* lnk 파일 헤더 구조

link header

4C 00 00 00 / header size

01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46 / linkclsid

9B 00 08 00 / link flags(여길 잘 봐야 한다고 하는데 아직 이해를 다 못했다...)

20 00 00 00 / 링크 파일 특성 정보

53 71 1C 79 2B CA CE 01 / 링크 대상의 생성 시간

53 71 1C 79 7B CA CE 01 / 링크 대상의 접근 시간

A9 13 71 C1 5B CA CE 01 / 링크 대상의 쓰기 시간

D0 1B 4E 02 / 링크 대상의 크기

00 00 00 00 아이콘 인덱스

01 00 00 00 / 링크 실행 시 동작 모드

00 00 / hotkey

00 00 / 예약된 필드(항상 0)

00 00 00 00 / 예약된 필드(항상 0)

00 00 00 00 / 예약된 필드(항상 0)

 

LinkTargetDList

D7 00 / IDList 값 : LinkTargetDLis의 정보가 담긴 데이터 사이즈

14 00 1F 50 E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30 30 9D 19 00 2F 48 3A 5C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4C 00 31 00 00 00 00 00 50 43 A3 54 10 00 73 74 75 64 79 00 38 00 08 00 04 00 EF BE 50 43 72 54 50 43 A3 54 2A 00 00 00 B9 72 00 00 00 00 0D 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 73 00 74 00 75 00 64 00 79 00 00 00 14 00 5C 00 32 00 D0 1B 4E 02 50 43 B8 54 20 00 73 33 63 33 72 37 2E 61 76 69 00 00 42 00 08 00 04 00 EF BE 50 43 78 54 50 43 78 54 2A 00 00 00 E1 9B 00 00 00 00 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 73 00 33 00 63 00 33 00 72 00 37 00 2E 00 61 00 76 00 69 00 00 00 1A 00 00 00 / 가변적 길이(데이터)

 

Location information(일단 필요한 시리얼 번호는 구했으니... 뒤에는 나중에 하자. 너무 많다)

42 00 00 00 / Location information 사이즈 정보

1C 00 00 00 / Location information 헤더 사이즈

01 00 00 00 / Location flag 값

1C 00 00 00 / Location information에 대한 볼륨 정보의 시작 위치 주소

2D 00 00 00 / 원본 파일의 정보의 시작 주소

00 00 00 00 / 모르겠음

41 00 00 00 / 모르겠음

11 00 00 00 / 볼륨의 크기

02 00 00 00 / DriveType

A9 02 A8 D0 / DriveSerialNumber

10 00 00 00 / VolumelabelOffset

00 48 3A 5C 73 74 75 64 79 5C 73 33 63 33 72 37 2E 61 76 69 00 00 0C 00 2E 00 5C 00 73 00 33 00 63 00 33 00 72 00 37 00 2E 00 61 00 76 00 69 00 08 00 48 00 3A 00 5C 00 73 00 74 00 75 00 64 00 79 00 60 00 00 00 03 00 00 A0 58 00 00 00 00 00 00 00 75 6E 6C 69 6D 69 74 00 00 00 00 00 00 00 00 00 6C 81 5F D8 39 33 93 4F B3 C8 6B 2F 77 7B 6F A5 2E 8B 4B 42 BF 30 E3 11 A8 6A 74 E5 43 D3 B5 58 6C 81 5F D8 39 33 93 4F B3 C8 6B 2F 77 7B 6F A5 2E 8B 4B 42 BF 30 E3 11 A8 6A 20 13 10 16 00 00 00 00 00 00

 

2. 만들어진 시간

DCode 툴을 이용하여 링크 대상의 생성 시간을 보면 시간을 알 수 있다.

생성 시간 : 2013년 10월 16일 13시 52분 10초

 

3. 마지막 실행된 시간

접근 시간 : 2013년 10월 16일 23시 24분 50초

 

4. 쓰기 시간

쓰기 시간 : 2013년 10월 16일 19시 37분 47초

 

5. 볼륨 시리얼

시리얼 번호 : D0A802A9

 

이제 최종적으로 정리해보면

H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9

 

여기에 md5 만 하면 끝난다.

md5(H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9)

플래그 값을 얻을 수 있다.

 

플래그 값 : 66f67cd42c58763fd8d58eed6b5bfdba