[xcz.kr #22] Who's Notebook? - 100 points
xcz.kr의 10번째 문제는 Who's Notebook?이다. 포렌식이고, 문제는 아래와 같다. 파일을 다운로드해서 FTK Imager로 열어주려고 했더니 에러 창이 뜨면서 불러오지 못한다. HxD로 파일 구조를 봤다. 헤더 부분에 AD SEGMENTED FILE 문자열이 있다. 이에 대해 구글링을 해서 관련 정보를 얻었다. ADSEGMENTEDFILE은 Access Data에서 지원하는 File Format이다. FTK Imager으로 Dump를 할 때 파일 확장자를 AD1으로 진행할 경우 만들어지는 파일이라고 한다. 따라서 이 파일의 확장자를 AD1으로 변경한 후 다시 FTK Imager로 열었다. Desktop 디렉터리를 분석하던 중 다음과 같이 위도와 경도가 표시된 파일을 발견했다. 노트북이 거..
Forensics/xcz.kr
2021. 2. 16. 18:37
