CTF/Forensic

[BDSecCTF 2023] SYSTEM CHECK

youung 2023. 7. 21. 23:45
728x90
반응형

 

 

<문제 정보>

When Last system audit policy was changed?
Flag Format : BDSEC{MM/DD/YEAR_Hour:Minute:Second_Am/PM}
Example : BDSEC{01/01/2001_01:01:01_PM}

 

 

파일을 다운로드 받으면 Windows 7.ova 파일이 주어진다.

이 파일을 VMware에 import 하고 실행시켰다.

 

 

마지막 시스템 audit policy changed를 확인하는 방법은

 

1. Windows 키 + R 로 eventvwr.msc 를 연다.

 

 

 

2. 이벤트 뷰어 창 왼쪽 창에서 "Windows 로그" 클릭하고, Security를 클릭해서 들어간다.

 

 

 

3. Event ID가 4719를 찾는다. 

(Event ID 4719는 system audit policy change를 나타냄)

 

 

 

4. Event ID가 4719를 더블 클릭해서 들어가면 이벤트 세부 정보에서 

발생한 날짜 및 시간 등 포함한 감사 정책 변경에 대한 정보를 찾을 수 있다.

 

 

 

 

 

FLAG

BDSEC{07/20/2023_07:12:17_AM}

 

728x90
반응형