https://www.cfreds.nist.gov/Hacking_Case.html
#17. What is the SMTP email address for Mr. Evil?
#18. What are the NNTP (news server) settings for Mr. Evil?
1. E-mail Program 조사
HKLM\SOFTWARE\Clients\Mail
Forte Agent, Hotmail, MSN Explorer, Outlook Express 4 개의 이메일 프로그램 중, Forte Agent 를 공격자가 설치한 프로그램이므로, 해당 프로그램을 이용했을 가능성이 가장 높다.
2. 해당 프로그램 폴더 조사
Forte Agent 프로그램 폴더에서 정보가 될만한 파일을 탐색하던 도중, 다음과 같이 환경설정 파일을 발견하였다.
\Program Files\Agent\Data\AGENT.INI
3. 파일 분석
AGENT.INI 파일을 열면, 다음과 같이 E-mail address 와 news server 정보를 발견할 수 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |
|---|---|
| hacking case #19, pattern matching using grep (0) | 2019.02.08 |
| hacking case #16, hacking programs (0) | 2019.02.04 |
| hacking case #15, mac address vendor (0) | 2019.02.04 |
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
