[xcz.kr #22] Who's Notebook? - 100 points

xcz.kr의 10번째 문제는 Who's Notebook?이다. 포렌식이고, 문제는 아래와 같다.

파일을 다운로드해서 FTK Imager로 열어주려고 했더니 에러 창이 뜨면서 불러오지 못한다.

HxD로 파일 구조를 봤다. 헤더 부분에 AD SEGMENTED FILE 문자열이 있다. 이에 대해 구글링을 해서 관련 정보를 얻었다. ADSEGMENTEDFILE은 Access Data에서 지원하는 File Format이다. FTK Imager으로 Dump를 할 때 파일 확장자를 AD1으로 진행할 경우 만들어지는 파일이라고 한다. 따라서 이 파일의 확장자를 AD1으로 변경한 후 다시 FTK Imager로 열었다.

Desktop 디렉터리를 분석하던 중 다음과 같이 위도와 경도가 표시된 파일을 발견했다. 노트북이 거쳐간 장소에 대한 문제이므로 이 위치 정보가 중요하게 쓰일 것 같다. 그리고 메타데이터에는 관련된 툴의 정보가 있었다. 툴의 이름과 링크가 있어서 다음 링크로 이동해서 툴을 다운로드했다. 위치 정보에 대해 분석해야 하기 때문에 이 파일을 추출했다.

툴에 대한 설명은 위와 같다. 파일의 확장자가 GPX여야 할 것 같다. 따라서 추출한 파일의 확장자를 GPX로 하자.

위와 같이 경로가 뜬다. 처음 출발지는 공덕역이다. PLACE1: GONGDEOK

거쳐가는 곳은 김포국제공항인 것 같다. PLACE2: GIMPOINTERNATIONALAIRPORT

최종 목적지는 동부렌트카인 것 같았다. PLACE3: DONGBURENTACAR 라고 생각을 했는데 어쩐지 인증이 안 된다. JEJU까지 붙여서 해도 인증이 안 되길래 암만 봐도 답이 없어서 인터넷에 라업을 쳐 봤다. 나와 같은 상황인 분들이 굉장히 많은 것 같았다. 원래 마지막 위도와 경도를 입력하면 세븐일레븐의 위치가 떴다고 한다. (정답 수정 따위 하지 않는다) 결국 PLACE3는 7-ELEVEN으로 입력을 하면 된다. 플래그 형식에 맞춰 인증하면 인증했다고 뜬다.