[CTF-D] 판교 테크노밸리 K기업에서… #1

사용자가 어떤 사이트를 가장 많이 접속했는지 알아내면 될 것 같다.

 

문제 파일을 열어보니 여러 사용자의 폴더가 보였다.

이 중에서 가장 의심되는 것은 7ester 이다.

폴더를 자세히 확인해보자.

 

보통 프로그램의 파일들이 AppData에 저장되는 것으로 알고 있다.

AppData를 확인해보자.

VMware , Internet explorer 등을 설치되어 있는 것 같다.

문제에서 가장 많이 접근 한 사이트의 주소를 알아내라고 했으니 Internet explorer의 정보가 담겨있는 Mirosoft 폴더를 확인해보자.

 

여러가지의 폴더와 파일이 담겨있다.

그 중, 데이터 값이 들어있을 것으로 추정되는 WebCache 폴더를 확인해보자.

.log .jrs .dat 3가지 종류의 파일들이 담겨있다.

 

우선 .log 파일을 메모장으로 열어보았다.

모든 .log 파일을 열어보았는데, 아무래도 깨져서 보였다.

그런데 마지막에 WebCacheV24.dat 를 가리키는 것 같았다.

 

WebCacheV24.dat를 열어보자.

 

.dat도 메모장으로 열어보려 했으나 너무 깨져보여서 다른 분석 도구를 찾았다.

 

ESEDatabaseView 도구를 이용해 .dat 파일을 열었다.

여러개의 테이블 중 containor 2에 가장 많은 데이터 값들이 있어서 확인해보았다.

AccessCount 가 접속한 횟수이다.

이를 오름차순으로 정렬해보았더니 519번 접속한 http://www.hanrss.com/ 주소를 찾을 수 있었다.

 

클리어!