https://www.youtube.com/watch?v=BxuY9FET9Y4
http://network-forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html
#19. What two installed programs show this information?
#18 의 NNTP 서버 정보인 news.dallas.sbcglobal.net 문자열이 있는 파일을 검색한다.
1. linux 기본 명령어인 grep 을 사용하기 위하여, C:\Windows\System32 폴더 경로에 grep.exe 명령어 파일을 복사한다.
Linux command.zip
2. 다음의 명령어를 통해, 해당 문자열이 있는 파일 목록을 matches.txt 로 추출한다.
[주의] arsenal image mounter 로 이미지를 마운팅할때 Write temporary 옵션을 선택해야 D 드라이브(이미지 마운트 경로)에 바로 생성이 된다. Read Only 일 경우 redirection 파일 경로를 다른 곳으로 해야한다.
3. 추출된 matches.txt 를 보면 다음과 같다.
matches.txt
Forte Agent, Outlook Express 폴더 경로에서 발견된 것으로 미루어 보아 두 프로그램을 통해 뉴스를 구독했음을 알 수 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #21,22 mIRC artifacts (0) | 2019.02.08 |
|---|---|
| hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |
| hacking case #17,18 email account & news server (0) | 2019.02.04 |
| hacking case #16, hacking programs (0) | 2019.02.04 |
| hacking case #15, mac address vendor (0) | 2019.02.04 |
