CFReDs 11~15번

  

11. Who was the last user to logon to the computer?

다른 계정들은 접속한 시간이 없고, Mr.Evil만 Last Logon Time이 2004년8월27일 15시 8분 23초이다.

이 컴퓨터에 Timezone은 Central Daylight Time으로 설정되어 있으므로 5시간을 빼준 2004년 8월 27일 10시 8분 23초이다.

12. A search for the name of “G=r=e=g S=c=h=a=r=d=t” reveals multiple hits. One of these proves that G=r=e=g S=c=h=a=r=d=t is Mr. Evil and is also the administrator of this computer. What file is it? What software program does this file relate to?

greg schardt에 관한 정보를 찾았다. 하지만 이 오프셋으로 파일을 찾아 들어가기엔 힘들 것 같아서 기존에 사용하던 FTK imager를 버리고 autopsy로 바꿨다. 신세계….

keywaord Search에서 greg schardt를 검색한다.

검색 결과가 여러 개 나오는데 software에서는 mr.evil이란 정보를 아무리 뒤져봐도 없었으니 패스한다.

Operating System Information Atifact 파일도 내용이 없으니 패스.

drwtsn32.log파일도 mr.evil관련 파일이 없다. 패스.

irunin.ini파일을 열어보니 Mr. Evil과 관련된 것이 보인다.

USERNAME이 Greg Schardt이다. 빼박이다.

Look@LAN.txt 파일에도 Mr.Evil 흔적이 있다.

그러면 최종 답은 irunin.ini 파일이며, Look@LAN이라는 소프트웨어랑 연관이 있다.

13.  List the network cards used by this computer

software\Microsoft\windows NT\Current Version\NetworkCards를 보면 두개가 나와 있다.

둘 중 뭘로 선택해야 하나 생각하다가 인터넷에 검색해보니 네트워크 카드 두개를 한 번에 사용 가능하다고 한다.

정답은 Compaq WL110 Wireless LAN PC Card, Xircom CardBus Ethernet 100 + Modem 56(Ethernet Interface)이다.

14번을 하다가 다른 방법도 찾게 되었다.

system\controlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions에 들어가면 네트워크 카드 정보를 볼 수 있다.

14. This same file reports the IP address and MAC address of the computer. What are they?

system\ControlSet001\Control\Class에 보면 13번에서 찾았던 4D36E972-E325-11CE-BFC1-08002BE10318을 여러 개 볼 수 있다.

그 중에서 Network adapter라고 적힌 것을 선택한다.

system\ControlSet001\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318}\0001\Ndi\Params\NetworkAddress에는 비어있다..

어디있는걸까..(12번 뛰어 넘었었음)

12번 풀고나니 14번이 바로 풀렸다. 아까 irunin.ini 파일에 IP정보와 MAC주소가 담겨있었다.

IP는 192.168.1.111이고, MAC주소는 00 10 a4 93 3e 09이다. 다음부턴 문제 모르면 뛰어넘으면 안될 것 같다. 이전의 문제가 현재의 힌트가 된다…

15. An internet search for vendor name/model of NIC cards by MAC address can be used to find out which network interface was used. In the above answer, the first 3 hex characters of the MAC address report the vendor of the card. Which NIC card was used during the installation and set-up for LOOK@LAN?

http://www.coffer.com/mac_find/

이 주소에다가 14번에서 알아낸 MAC 주소를 입력하게 되면 제조사를 알려준다.

제조사는 xircom이다.

앞에 hex값 3개로 제조사를 알 수 있다고 해서 3개만 입력해도 똑같이 나온다.