[N0Named] [B] 유출된 자료 거래 사건[3] 풀이

문제 : 동거자의 이름과 계정이 삭제된 시각을 찾아내시오 ! --^

 

7zip으로 압축 풀면 nonamed.vmdk 발견 => FTK Imager로 열어봅시다.

 

문제 설명에서 보면 하나의 컴퓨터로 두 계정을 사용한 것으로 보이는데,

휴지통에서 두 개의 SID 계정 폴더가 있는 것을 보고 확신했다.

 

User 폴더에 가보니 계정 이름으로 cocktail과 nonamed를 찾을 수 있었다.

* Default User 폴더 : 새로운 계정을 위한 Default 폴더

 

이후, 계정 삭제의 로그을 찾아서 계정의 이름과 삭제 시각을 알아내면 된다.

계정 로그인 시도에 대한 로그는 윈도우 이벤트 로그에서 보안 로그를 통해서 찾을 수 있다.

3. 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 접근의 리소스 사용과 관련된 이벤트 기록

출처: 
https://ssol2-jjanghacker.tistory.com/entry/WHOIS-포렌식-교육-3주차-공부-보고서-작성
 [ssoL2 TISTORY]

 

따라서 이벤트 로그의 위치를 찾아 export해서 eventViewer로 살펴보면 된다.

이벤트 로그 위치는 \Windows\System32\winevt\Logs 에 존재하며, 나는 필요한 보안 로그만 export 했다.

 

더블 클릭하면 자동으로 윈도우 이벤트 뷰어로 넘거간다. 저장된 로그에 export한 보안 로그가 추가되었다.

로그 모니터링 화면을 보면 이벤트 수가 610개로 다 찾아보기에는 많은 숫자이다.

 

앞서 유추해본 두 계정 nonamed와 cocktail 중에서 nonamed가 본 계정일 확률이 높다 왜냐하면 디스크 이름이 NONAME 이었기 때문이다. 따라서 모니터링 화면에서 [찾기] 기능을 통해 'cocktail'으로 필터 걸어보자.

아, 필터링 걸기 전에 [날짜 및 시간]을 정렬하여 반대 순서대로 정렬하자. 그러면 계정 삭제가 가장 먼저 나올 것이다.

 

따단, 이벤트 설명을 보면 '사용자가 로그오프를 시작했습니다'를 발견했다. 그래도 "계정 삭제" 가 아니므로 다음 찾기로 넘어갑시다.

 

다음으로 넘기니 바로 사용자 계정 삭제 로그나 나왔다. 계정이름은 cocktail, 로그된 날짜도 같이 출력된다.

정리하면 계정을 최종 삭제한 후에 로그오프가 일어난 셈이다. 따라서 구한 것을 바탕으로 FLAG 입력하면 된다.

 

끝 !