난이도: 1 문제 이름: Hacked 일단 문제를 보게되면 해킹을 당했고, 바탕화면에 이상한 파일이 갑자기 막 생긴다고 서술이 되어있다. 그래서 FTK Imager로 바탕화면을 가서 확인을 하게 되면 다음과 같이 나온다. 일단 시간은 24년 5월 1일 16:32분 경이다. 무슨 경로로든 프로그램을 깔아도 실행을 해야한다고 생각을 했다. 그래서 윈도우 이벤트 로그 부분을 덤프해와서 Event Log Explor를 이용하여 PowerShell 이벤트 로그를 살펴본 결과 실행된 스크립트 이름을 확인할 수 있다. (단, 편의성을 위해 문제에서 언급된 것처럼 UTC로 변경) 다음으로 구할 답은 사용자의 마지막 로그오프 시간이다.파워쉘에서 마지막으로 실행된 스크립트를 기준으로 이후 이벤트 로그를 살펴보면 같은 시간..

문제 이름: lolololologfile난이도: 1  문제를 다운하면 Image.E01로 주어진다. FKT Imager로 열어보면 $BOOT에서 NTFS와 $MFT를 확인할 수 있다. 즉, NTFS를 확인 가능하다.또한 삭제 된 seg1 ~ 4까지를 확인 가능하지만, FTK Imager에서는 삭제 파일 복구 기능을 지원 안 한다.그래서 unallocated space(할당되지 않은 공간)으로 이동하였다.  * NTFS 추가설명NTFS에서 파일 삭제 시 1. 해당 파일의 MFT 항목에서 in use 플래그가 0으로 설정(파일이 더 이상 사용되지 않음을 표시)단, 유효하지 않다고 표시이지 MTF 자체는 삭제되지 않음2. 삭제된 파일이 사용하고 있던 클러스터(디스크 공간)는 unallocated space(할..

문제이름: Windows Search난이도: 1 처음에 Windows.edb라는 파일 한개가 주어진다. EDB(Extensible Storage Engine Databases)- ESS(Extensible Storege Engine)로 불리는 데이터베이스 형식에서 사용되는 파일 확장자  EDB 파일을 열기 위해 WinSearchDBAnalyzer.exe 라는 프로그램을 사용한다.파일 경로를 설정 후 Open을 누른다.Time Zone을 UTC+9로 설정해준다.상단의 Search칸에 flag를 적은 후 Search 버튼을 눌러준다.(EnterKey가 안 먹으니 마우스로 직접)해당 파일을 누르게 되면 preview가 보이는데 하단에 DH{}로 플레그 값이 보이는걸 확인가능하다.