디지털포렌식 with CTF - [Disk Forensic]

09

DFIR/Challenge

2020-01-10 15:28:11


A회사 보안팀은 내부직원 PC의 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드 한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부문서의 정보를 찾아 정답을 입력하시오.

KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)

ex)2013/03/01&21:00:00_2013/04/03&10:00:50_sample.docx_100MB

사용도구 : Plist Editor Pro v2.5 / FTK Imager / DB Browser for SQLite v3.10.1, Dcode v4.02

evidence.001 이미지 파일을 FTK Imager로 분석

./img/evernote_image_1.png

유출된 내부문서로 추정되는 PDF 파일 확인

./img/evernote_image_2.png

해당 디렉터리의 Dropbox 앱의 cache.db 파일을 extract

./img/evernote_image_3.png

extract한 cache.db 파일을 DB Browser for SQLite로 open -> Browse Data 탭에서 plist 관련 파일 내용을 확인

./img/evernote_image_4.png

tim_folder key의 data부분을 더블클릭하면 Base64로 인코딩된 내용을 확인할 수 있음

./img/evernote_image_5.png