[N0Named-Forensic#19] [B] 유출된 자료 거래 사건[1] - 300 points
N0Named wargame의 Forensic 19번째 문제다. 이후 연결되는 문제가 있다. 회사의 내부 자료 유출에 사용된 USB 대용량 장치를 찾는 문제다. 링크를 통해 파일을 다운로드하면 nonamed.7z 압축 파일이 있고, 이 파일의 압축을 풀면 nonamed.vmdk 가상 머신 디스크 파일이 있다. 이를 FTK Imager로 분석했다. Windows에서 USB 사용 이력을 분석하는 방법에는 여러 가지 방법이 있다. (이 사이트에서 참고를 했다.) 첫 번째로, 이벤트 로그를 분석하는 방법이다. 여러가지 이름으로 로그가 존재할 수 있지만, "C:\Windows\Systme32\winevt\Logs\Microsoft-Windows\DriveFrameworks-UserMode%4Operational...
Forensics/N0Named
2021. 5. 5. 20:59
