(2021.01.29)
| 이용한 도구 FTK Imager event viewer |
N0Named Wargame - [B] 유출된 자료 거래 사건[3]
3주차 교육에서 공부했던 windows event log를 이용하면 될 듯하다.
관련 내용은 kali-km.tistory.com/entry/Windows-Event-Log-1 를 참고했다.
event viewer 이용하면 되는 것 같음
event viewer 로 파일을 열기 위해서는 eventlog 파일이 필요하다
|
윈도우 이벤트 로그에는 총 4가지의 로그가 있다. 시스템 로그: system.evtx 설치 로그: setup.evtx 보안 로그: security.evtx 응용프로그램 로그: application.evtx |
이 문제에서는 동거자의 계정에 대해 알아내야하는데
윈도우 계정에 관한 것은 보안 로그에 담긴다고 한다.
Windows > System32 > winevt > Logs
type 1 - 이벤트 ID : 630
type 2 - 이벤트 ID : 4726
nonamed 계정으로 cocktail 이라는 계정을 삭제한 것을 확인할 수 있음!!
|
flag : NND{동거자의 이름_계정이 삭제된 시각} 계정이 삭제된 시각 포맷: 월일.시:분:초 ex)1월1일 13시 01분 01초인 경우 0101.13:01:01 KST 기준입니다. |
동거자의 이름은 cocktail
계정이 삭제된 시각은 2020-02-20 오후 11시 52분 57초
플래그 형식대로 답을 만들면
NND{cocktail_0220.23:52:57} 이 된다.
'Write Up > N0Named Wargame' 카테고리의 다른 글
| [포렌식] NoNamed Wargame - [A] 길에서 주어온 만두 (0) | 2021.02.03 |
|---|---|
| [포렌식] N0Named Wargame - [B] 유출된 자료 거래 사건[4] (0) | 2021.01.29 |
| [포렌식] N0Named Wargame - [B] 유출된 자료 거래 사건[2] (0) | 2021.01.29 |
| [포렌식] N0Named Wargame - [C] 우리의 추억들 (0) | 2021.01.27 |
| [포렌식] N0Named Wargame - inject (0) | 2021.01.21 |
