Notice
Recent Posts
Recent Comments
Link
«   2025/04   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Tags
more
Archives
Today
Total
관리 메뉴

TH3 6R3@T H@CK

[Disk] 경찰청은 최근 아동 성폭력… 본문

CTF

[Disk] 경찰청은 최근 아동 성폭력…

vvh0am1 2022. 11. 19. 20:52

[문제]

[풀이]

주어진 파일을 FTK Imager로 열게 되면 디렉터리 구조와 사용자 계정들을 확인할 수 있다.

 

Partition 1에서 Forensic [NTFS] 폴더를 살펴보면 root/Users에서 사용자 계정을 확인할 수 있다.

그 중 Administrator 계정에서 토렌트와 관련된 uTorrent 폴더를 확인할 수 있다.

(파일 경로: root\Users\Administrator\AppData\Local\uTorrent)

 

 

💡 토렌트란?

인터넷 곳곳에 흩어져 있는 파일들을 찾아서 다운받는 프로그램

쪼개어진 파일들을 조각이라고 표현하고, 다수의 사용자들에게 조각들을 수집해서 하나의 완성된 파일을 받는 형태이기에 불법 다운로드에도 많이 사용되지만, 특성상 단속을 하기 힘들어서 사실상 규제가 힘들다.

과거의 P2P 서비스는 ‘소리바다’, ‘당나귀’, ‘프루나’ 등이 있었고, 현재는 토렌트만 남아있다.

1대 다수의 공유 방식이고, 사용자가 많을수록 다운로드 속도가 증가한다.

※ 불과 몇 년 전만 하더라도 성착취물의 주요 유통 창구로 사용되었지만, 현재는 필터링이 강화됨.

참고) https://blog.naver.com/shark959/222270221037

 

 

uTorrent에서 다운받은 파일의 경로와 설정 정보를 분석하기 위해서

root\Users\Administrator\AppData\Roaming\uTorrent 폴더의 setting.dat 파일을 분석해야 한다.

settings.dat 파일을 [마우스 우클릭]-[Export Files…] 기능을 통해 해당 파일을 추출하여 지정 위치에 저장한다.

저장이 완료되면 토렌트 데이터 파일을 확인하기 위한 도구인 BEncode Editor 도구를 사용한다.

setting.dat 파일을 열면 Administrator 계정과 관련된 경로를 확인할 수 있다. (↓)

(C:\Users\CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup)

 

 

💡 BEncode Editor

: 토렌트 데이터 파일을 편집, 확인할 수 있는 도구

다운로드 → https://sites.google.com/site/ultimasites/bencode-editor

 

 

settings.dat 파일 내용에 대해 BEncode Editor 도구를 사용하여 확인한 경로를 FTK Imager로 이동하면 위와 같은 파일이 확인된다.

 

settings.dat 파일을 추출한 것과 똑같이 추출하여 MAC 타임을 확인해보면

해당 파일은 2012년 12월 24일 월요일 오후 1시 45분 43초에 생성된 파일이라는 것을 알 수 있다.

(MAC time → https://chojinyoung.tistory.com/140)

 

그리고 해당 파일의 데이터를 확인해보면 TorrentRG.com의 문자열이 보인다.

따라서 토렌트를 이용한 아동성착취물 다운로드의 흔적임을 확인할 수 있다.

 

문제에서 요구하는 플래그 형태로 정리해보면 다음과 같다.

요구 형태 ▶ SHA1("md5(Evidence File)_Download Time")

SHA1("md5(052b585f1808716e1d12eb55aa646fc4984bc862)_2012/12/24_13:45:43")

 

SHA1과 MD5 Hash 값을 구하기 위해 Hashcalc라는 도구를 사용한다.

 

 

💡 HashCalc

: 다양한 해시값 추출 프로그램으로, 파일 무결성 검사 도구

설치 → https://www.slavasoft.com/hashcalc/

 

 

HashCalc 도구를 이용해 해당 파일에 대한 MD5 값을 나타낸 화면이다.

 

마지막으로 MD5 Hash 값과 다운로드 시간을 조합해보면 다음과 같다.

MD5 Hash 값_다운로드 시간

▶ 449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43

 

SHA1 Hash 값을 마찬가지로 HashCalc 도구를 이용하여 구하면 최종 플래그를 확인할 수 있다.

 

[Flag]

0100a4cdfdbb366125e736dad7023527dcbaa5b9

 

 

# reference

https://yum-history.tistory.com/258

'CTF' 카테고리의 다른 글

[Multimedia] 타이틀 참조  (1) 2022.11.20
[Network] 조용할수록 더 귀를...  (0) 2022.11.19
[Multimedia] Find Key(docx)  (0) 2022.11.19
[Disk] 제 드라이브에 catz 사진이 몇 장 있습니다!  (0) 2022.11.19
[Network] 하늘은 왜 푸른색입니까?  (0) 2022.11.19
'CTF' Related Articles more