CFReDS 21~25번

21. A popular IRC (Internet Relay Chat) program called MIRC was installed.  What are the user settings that was shown when the user was online and in a chat channel?

uninstall에 들어가서 mIRC에 관련된 정보를 찾아보자.

mIRC에 관한 정보는 software\Microsoft\Windows\CurrentVersion\uninstall\mIRC에 있다고한다.

Autopsy로 mIRC 폴더에 들어가보자.

mirc.ini라는 mirc에 관한 설정파일을 찾을 수 있다. 

사용자가 온라인 및 채팅 채널에있을 때 표시되는 사용자 설정이라 하면은 사용자 닉네임이나 ID가 있어야 할 것 같아 ID에 관련된 정보를 찾아보았다.

nick은 Mr이라는 것을 알 수 있었지만 anick이 뭔지 몰라서 검색해봤다.

Alternative Nickname이라고 나온다. 변경된 닉네임을 의미하는 것 같다.

22. This IRC program has the capability to log chat sessions. List 3 IRC channels that the user of this computer accessed.

이 IRC 프로그램에는 채팅 세션을 기록하는 기능이 있습니다. 이 컴퓨터의 사용자가 액세스 한 3 개의 IRC 채널을 나열하십시오.

mIRC 밑에 logs라는 폴더가 있다.

많은 log 파일들이 있는데 그 중 하나를 선택해서 내용을 확인해보자.

세션에 대한 정보를 담고 있다. 누가 접속했고 누가 퇴장했는지 나와있다.

문제에서는 사용자가 엑세스한 채널 3개를 나열하라 했으니 답은 Chataholics.UnderNet, CyberCafe.UnderNet, Elite.Hackers.UnderNet이다.

23. Ethereal, a popular “sniffing” program that can be used to intercept wired and wireless internet packets was also found to be installed. When TCP packets are collected and re-assembled, the default save directory is that users \My Documents directory. What is the name of the file that contains the intercepted data?

문제에 My Documents라는 디렉토리에 있다는 말을 보고 바로 My Documents 디렉토리를 샅샅이 찾아봤다.

TCP 패킷이 수집된 흔적들은 발견 되지 않았다. 생각해보니 단순히 My Documents가 아닌 users/ My Documents라고 돼있었다. users는 사용자를 의미한다. Documents and Settings로 들어가보자. 저번에 Ehereal 프로그램을 사용한 사람은 Mr.evil이다. Mr.evil의 폴더를 샅샅히 뒤져보자.

Mr.evil 안에 My documents가 있다.

이게 끝이다... 낚였다..

Mr. evil을 좀더 찾아보던 도중 

intercepion이라는 파일을 찾았다. 파일 내용을 보니 패킷들이 담겨 있다.

답은 interception이다.

24. Viewing the file in a text format reveals much information about who and what was intercepted. What type of wireless computer was the victim (person who had his internet surfing recorded) using?

파일을 텍스트 형식으로 보면 누가 무엇을 가로채는 지에 대한 많은 정보가 나타납니다. 피해자 (인터넷 서핑을 기록한 사람)는 어떤 종류의 무선 컴퓨터를 사용 했습니까?

답은 Windows CE (Pocket PC) - Version 4.20이다.

Windows CE는 소형 컴퓨터나 PDA 등에 사용되는 마이크로소프트 윈도우 전용 커널이라고 한다. 윈도우 모바일에 주로 사용된다고 한다.

25. What websites was the victim accessing?

mobile.msn.com에 접속을 하는 것을 볼 수 있다.

주요 메인화면 부분을 보게 되면 여러 링크들이 걸려 있는 것들이 나오게 되는데 좀 더 내려보면 Hot mail에 접속 한것을 볼 수 있다.

최종적으로 이 사람은 msn홈페이지의 Hot mail을 접속했다.