https://www.cfreds.nist.gov/Hacking_Case.html
#20. List 5 newsgroups that Mr. Evil has subscribed to?
#19 에서 발견된 outlook express 관련 폴더 경로로 접근하면 다음과 같다.
이를 통해 혐의자가 outlook 을 통해 구독한 newsgroup 을 알 수 있다.
Documents and Settings/Mr. Evil/Local Settings/Application Data/Identities/{EF086998-1115-4ECD-9B13-9ADC067B4929}/Microsoft/Outlook Express/
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #23~25 network packet analysis (0) | 2019.02.08 |
|---|---|
| hacking case #21,22 mIRC artifacts (0) | 2019.02.08 |
| hacking case #19, pattern matching using grep (0) | 2019.02.08 |
| hacking case #17,18 email account & news server (0) | 2019.02.04 |
| hacking case #16, hacking programs (0) | 2019.02.04 |
https://www.youtube.com/watch?v=BxuY9FET9Y4
http://network-forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html
#19. What two installed programs show this information?
#18 의 NNTP 서버 정보인 news.dallas.sbcglobal.net 문자열이 있는 파일을 검색한다.
1. linux 기본 명령어인 grep 을 사용하기 위하여, C:\Windows\System32 폴더 경로에 grep.exe 명령어 파일을 복사한다.
Linux command.zip
2. 다음의 명령어를 통해, 해당 문자열이 있는 파일 목록을 matches.txt 로 추출한다.
[주의] arsenal image mounter 로 이미지를 마운팅할때 Write temporary 옵션을 선택해야 D 드라이브(이미지 마운트 경로)에 바로 생성이 된다. Read Only 일 경우 redirection 파일 경로를 다른 곳으로 해야한다.
3. 추출된 matches.txt 를 보면 다음과 같다.
matches.txt
Forte Agent, Outlook Express 폴더 경로에서 발견된 것으로 미루어 보아 두 프로그램을 통해 뉴스를 구독했음을 알 수 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #21,22 mIRC artifacts (0) | 2019.02.08 |
|---|---|
| hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |
| hacking case #17,18 email account & news server (0) | 2019.02.04 |
| hacking case #16, hacking programs (0) | 2019.02.04 |
| hacking case #15, mac address vendor (0) | 2019.02.04 |
https://www.cfreds.nist.gov/Hacking_Case.html
#17. What is the SMTP email address for Mr. Evil?
#18. What are the NNTP (news server) settings for Mr. Evil?
1. E-mail Program 조사
HKLM\SOFTWARE\Clients\Mail
Forte Agent, Hotmail, MSN Explorer, Outlook Express 4 개의 이메일 프로그램 중, Forte Agent 를 공격자가 설치한 프로그램이므로, 해당 프로그램을 이용했을 가능성이 가장 높다.
2. 해당 프로그램 폴더 조사
Forte Agent 프로그램 폴더에서 정보가 될만한 파일을 탐색하던 도중, 다음과 같이 환경설정 파일을 발견하였다.
\Program Files\Agent\Data\AGENT.INI
3. 파일 분석
AGENT.INI 파일을 열면, 다음과 같이 E-mail address 와 news server 정보를 발견할 수 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |
|---|---|
| hacking case #19, pattern matching using grep (0) | 2019.02.08 |
| hacking case #16, hacking programs (0) | 2019.02.04 |
| hacking case #15, mac address vendor (0) | 2019.02.04 |
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
