본문 바로가기
카테고리 없음

251 : find the suspect

monkeydragon 2024. 5. 30. 18:07

문제설명

범죄에 이용된 것으로 의심되는 맥북을 입수했다. 그러나 우리 능력으로는 혐의를 입증할 수 없었으므로 당신에게 맡긴다. 

 

해시검사

일치. 

 

문제

 

1)Find all files that appear to be related to the crime, and identify the file name and upload or download time (UTC+9) (20 points)

범죄와 관련된 모든 파일을 찾아내고, 파일 이름과 다운로드 시간(UTC+9 기준)을 밝혀라.

 

2)Identify suspect's name and email address. (80 points)

범인의 이름과 메일 주소를 확인해라.

 

3)Submit the tool to decrypt the dbx. (150 points)          

dbx를 데크립트 하는 데 이용된 도구를 밝혀라. (?)

 

 

풀이

'dropbox' 폴더 내부. 

 

info.json 파일 디크립트 결과:

{"personal":

 {"path": "/Users/dfc2023/Dropbox",

 "host": 15362820705, 

"is_team": false, 

"subscription_type": "Basic"}}

 

pc 내 드롭박스 폴더 경로, 호스트 id, 팀 계정 여부, (요금제) 구독 타입으로 추정됨. 

 

apex.sqlite3

 

쿼리 데이터베이스 파일로 추정. 

 

dropbox.pid

?

 

 

instance1 파일 내부.

데이터베이스 파일들을 조회할 방법을 찾던 중 sqlite용 db 브라우저를 설치했다. 

 

sync_history 조회 결과. 

이외의 데이터베이스 파일은 브라우저로 조회했을 때 데이터가 보이지 않았다.

 

 안에는 증거 파일들의 목록이 들어있었다. 파일 경로는 전부 dropbox 폴더 안이다. 

/Users/dfc2023/Dropbox/메스암페타민_샘플용.jpg

 

 

딱 여기. 

 

 

아직 auptosy의 존재를 모르던 때라(5주차) 폴더를 통째로 autopsy로 분석해 볼까? 하는 생각을 하는 대신 저 config 파일이 드랍박스 데이터 압축파일이 아닐까 의심했다. 확장자 .dbx가 dopbox의 준말이라 하면 그럴듯했기 때문이다. 

 

그리고 3)Submit the tool to decrypt the dbx. (150 points)  문제에 가장 높은 포인트가 걸려있었으므로 이.dbx 파일을 읽는 것이 문제의 핵심이 될 것이라 여겼다. 

 

 아무튼 dbx 파일을 읽기 위해 한글/영문으로 가지각색의 검색을 해봤는데, dbx viewer 아니면 오픈소스툴밖에는 제공되지 않았다. dbx 파일 포맷을 사용하는 특정 프로그램이나 툴을 안다면 어떻게든 돌파구를 찾을 수 있을 텐데 이런 상태로는 진척이 없을 것 같았다. 

 

한동안 고전하다 문득 인공지능의 도움을 빌리자는 생각이 들어 챗지피티에게 .dbx 파일을 여는 법을 문의했다. 그러자 .dbx 파일이 마이크로소프트 사의 메일 파일이라고 입력 내용을 정정했다. 

 

검색해 보니 실제로 지금은 단종된 outlook express의 메일 파일이었다. 문제는 import dbx/open dbx 등으로 검색해봐도 유의미한 결과가 많지 않았다는 것. (2007년에 단종된 서비스라니 그럴 만도 하다.)

 

아무튼 outlook express는 윈도우 2007 이후로는 지원되지 않는다길래 가상 윈도우를 설치해 그 안에서 outlook express를 이용하기로 했다. 

 

모 블로거가 제공해준 윈도우 xp 디스크 이미지를 이용해 윈도우 xp 가상 머신을 구축했다. 

 

 

아웃룩 익스프레스가 기본 앱으로 설치되어 있다. 

 

마이크로소프트의 공식 솔루션에 의하면 특정 폴더 경로에 원하는 dbx 파일을 넣고 folders.dbx 파일명을 folders.old로 바꾸면 ‘폴더’ 항목에서 dbx 파일을 확인할 수 있다고 한다.

(파일 경로: \Documents and Settings\Administrator\Local Settings\Application Data\Identities\{F24B887E-DAAB-4AF0-B965-90AAEEB95178}\Microsoft\Outlook Express\받은 편지함.dbx)

 

파일 삽입

 

이후 실행 화면. 

?

문제는 하라는 대로 했는대도 폴더에 파일이 나타나지 않는다는 점이다. dbx 파일이 아웃룩 익스프레션 파일이 아닌가? 아웃룩 익스프레션 파일 확장자를 모르므로 확인할 수 없다. 실제 아웃룩 익스프레션 파일을 만들거나 다운 받아 코드 맨 앞자리를 대조해보기라도 해야겠다. 

 

 

(+

autopsy에 users 폴더를 통째로 집어넣고 조회해 봤으나 삭제파일은 나타나지 않았다. 

타임라인 역시 없다. 

티스토리툴바