xcz.kr - File Deleted Prob36

Title

File Deleted

   

Description

Korean

피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.

아래의 형식에 맞춰 증거를 수집해라.

   

시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))

ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB)) 

   

   

일단 받은 파일을 FTK로 열어보자

   

아동 청소년 보호법에 위배되는 파일은 왠지 영상 파일일 것이라고 생각이 되었다.

뒤져보다보니 이런 파일이 발견되었다.

   

s3c3r7.avi.lnk 라는 파일을 살펴보면

이러한 정보를 담고 있다.

   

우선 lnk라는 파일이 어떤 파일인지 찾아보니 윈도우에서의 바로가기 파일이라고 한다. 원본파일의 위치를 가리키는 파일이다.

결국 우리는 이 lnk파일로 실제로 파일이 있었는지의 존재여부와 생각보다 많은 정보를 알 수 있다.

이 lnk파일로, 원본파일의 경로, 크기, 볼륨, 파일명, 만들어진 시간, 마지막 수정시간, 그리고 마지막 접근 시간을 알 수 있다.

   

lnk파일 구조에 대한 분석은 추후에 해봐야겠다.

   

   

   

위 문제에는 GMT+9 이라고 나와있고

해당 파일의 시간을 살펴보면 UTC라고 나와있어 찾아보았더니

   

UTC는 위키를 찾아보면 아래와 같은 의미를 가지고 있다.

협정 세계시(協定世界時, 프랑스어: Temps Universel Coordonné, 영어: Coordinated Universal Time, UTC)는 1972년 1월 1일부터 시행된 국제 표준시이다. UTC는 국제원자시와 윤초 보정을 기반으로 표준화되었다. UTC는 그리니치 평균시(GMT)로 불리기도 하는데, UTC와 GMT는 초의 소숫점 단위에서만 차이가 나기 때문에 일상에서는 혼용되어 사용된다. 기술적인 표기에서는 UTC가 사용된다.

따라서 위 파일에서 찾은 시간은 UTC이므로, 한국의 시간은 9시간이 빠르므로 9를 더해야 한다.

GMT+9는 UTC 시간에 9시간을 더해야 한다.

   

따라서 아래 문자열을 md5로 인코딩하고 모두 소문자이므로 lowercase는 할 필요 없이 변환하면 이렇게 나온다.

H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9

66f67cd42c58763fd8d58eed6b5bfdba

   

답을 입력하면 정답이다.