문제
피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.
아래의 형식에 맞춰 증거를 수집해라.
시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))
ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB))
파일을 다운받아서 보니까 윈도우 구조이길래, FTK Imager로 열어보았다.
우리가 찾아야 하는 건 청소년 보호법에 위배되는 파일을 소지한 기록인데,
실행한 흔적이 있으면 lnk 파일이 생성되니까 lnk 파일을 먼저 보았다.
AppData - Roaming - Microsoft - Windows - Recent 폴더에 들어가면 lnk 파일을 볼 수 있고,
해당 폴더에 들어가니 s3c3r7.avi라는 파일이 있는 것을 볼 수 있었다.
파일의 원본 경로는 H:\study\s3c3r7.avi 임을 알 수 있다.
lnk 파일에서 링크 대상 파일의 생성 시간은 1C - 23까지이고, 이 시간을 변환시켜주면 아래와 같다.
https://doubleblak.com/blogPosts.php?id=7 사이트를 이용하여 변환해주었다. (20131016045210)
링크 대상 파일의 마지막 실행된 시간은 접근 시간을 의미한다.
링크 대상 파일의 접근 시간은 24 - 2B이고, 이를 똑같은 방식으로 변환해주면 시간은 위와 같이 나온다. (20131016142450)
링크 대상 파일의 쓰인 시간은 수정 시간이고, 2C-33이다. 이것도 똑같은 방식으로 변환해주었다. (20131016103747)
그럼 이제 마지막으로 볼륨 시리얼 넘버만 구하면 된다.
볼륨 시리얼 넘버는 대상 파일의 위치 앞에 있는 10 hex 값 앞의 4바이트이다.
이때 리틀 엔디안 방식으로 저장되어 있기 때문에, D0부터 읽어주어야 한다. (D0A8-02A9)
그럼 구한 값을 정리하여 문제에서 제시한 형식대로 바꾸면
H:\study\s3c3r7.avi_20131016045210_20131016142450_20131016103747_D0A8-02A9 가 되고,
GMT+9로 나타내면 H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9 이 된다.
python을 이용해서 md5 값을 구해주었다.
구한 md5 값을 입력했더니 문제가 풀렸다!
답 : 66f67cd42c58763fd8d58eed6b5bfdba