2013 Codegate Forensic 100

이 문제는 저 같은 포렌식 못하는 사람이 봐도 쉬운 문제입니다.

2013 Codegate Forensic 100

IOS기기에 대한 지식이 어느정도 필요합니다.

문제부터 올리도록하죠

A회사 보안팀은 내부직원 PC 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부 문서의 정보를 찾아 정답을 입력하시오.

Correct Answer ex)

Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)

2013-03-01 21:00:00_2013-04-03 10:00:50_sample.docx_100MB

일단 파일을 받아서 FTK Imager로 봅시다.

앱이름.app라는 디렉토리가 있고, iTunesMetadata.plist가 있는것 그외 여러가지 이유를 통해 이 핸드폰은 ios계열이라는 것을 알 수 있습니다.

무슨 무슨 앱이 있는지를 봅시다.

각폴더를 다 보니 이 정도가 나오네요. 하지만 여기서 '업로드'와 관련된 어플은 dropbox가 유력한 것 같습니다.

보통 파일들은 Document에 저장 됩니다. 들어가 봅시다.

Document에도, 그안에 Uploads폴더에도 없군요.. 하지만 여기서 포기하지말고 다른 곳도 뒤져 봅시다.

여기 무슨파일이 있었는지 볼 수 있네요.

S-Companysecurity.pdf를 제외한 모든 파일이 0B이므로 저희가 찾는 파일은 이 파일이라고 추측할 수 있겠군요 게다가 용량까지 한번에 알아 냈습니다. 이제 시간만 알아내면 되겠군요

 하지만 아까 위치에 파일이 없었는데 어떻게 알아낼까요?

파일을 삭제해도 캐시는 남아있을 겁니다 캐시로 가죠

캐시는 여기서 cache.db에 저장됩니다 이 파일을 보아야 합니다.

아까 위에서 봤던 폴더는 tim_folder였죠 data를 보면 base64로 인코딩 된 것 처럼 보이는 문자열이 보입니다. 이걸 디코딩해서 다운 받도록하죠

plist파일이 군요 여기서 S-Companysecurity.pdf를 찾아 봅시다.

여기 있네요. 이 아래쪽에 시간을 저장하는 곳이 있습니다.

위에 것이 업로드 시간, 아래것이 수정 시간입니다. 저 숫자를 MAC:Absolute Time으로 바꾸겠습니다.

시간을 이렇게 바꿔주면 됩니다.

그래서 답은..... 

2012-12-27 17:53:52_2012-05-01 17:49:32_S-Companysecurity.pdf_2.1MB