파일시스템을 정상화 시켜놓고 접근
은닉, 암호화 외에는 흔적이 남아서 찾을 수 있다.
사원 휴대폰번호 뒤 4자리 조합
MD 5: f70ff77 a876d6 5cddd70 457b2f c5e851
링크파일 찾아 분석하여 볼륨이름 찾기
해시값 띄어쓰기 없애기(이거 안해서 _2로 다시 만듦)
Run Ingest Modules -> Hash lookup -> New hash set 해서 돌리기
돌려서 저 해시값을 가진 파일을 찾음
Q1) 2364 1234
Q2) forensic.pdf
Q3) PEIM.lnk
볼륨이름은 Tooltest
Q1) 사원번호 4자리 조합 사원정보.xml > 2364 1234
Q2) MD 5: f70ff77 a876d6 5cddd70 457b2f c5e851 > forensic.pdf
Q3) 링크파일 찾아서 볼륨이름 PEIM.lnk > Tooltest
23641234forensicTooltest (ok)
12342364forensicTooltest
거래보수.zip 파일의 암호는 23641234forensicTooltest
다음시간부터는 분석하는거 마치고 악성코드함
'Forensic' 카테고리의 다른 글
| [디지털포렌식] 리버싱 2 (0) | 2022.02.15 |
|---|---|
| [디지털포렌식] 리버싱 (0) | 2022.02.10 |
| [디지털 포렌식] 포렌식 보고서 (0) | 2022.02.10 |
| [디지털 포렌식] 파일 분석 (0) | 2022.02.03 |
| [Forensic] 디지털 포렌식 (0) | 2022.01.21 |
