Disk - A회사 보안팀은 내부직원...

 

첨부 파일의 확장자가 .001 인것으로 보아 디스크 이미지파일이라는것을 알수 있습니다.

AccessData FTK Imager를 이용해서 파일을 열어보겠습니다.

 

 

하위 디렉터리에 10개의 이상한 이름의 파일이 존재 합니다.

해당 [root] 파일을 추출해보겠습니다.

 

각각의 폴더에 .app 파일들이 있습니다.

 

3BF5888C-B2FE-4E31-9FC2-480DEA405331 : CGV2.app

3E068DCB-B90B-43DC-B1A9-D083B5BBABE7 : CNN-iPhone.app

5BB3AF5D-01CC-45D9-947D-977DB30DD439 : Dropbox.app

6BCC19E4-31A9-4381-AABA-88069F3A763F : WebViewService.app

6F667589-637A-45E3-92AC-E421C00FF657 : HousekeepingLog.app

7C0D5811-A2CC-4E45-A0D1-2600B299C54D : MyPainting,app

7C10A720-1D64-4B77-AB4E-136AA429EBFF : HarooNotes.app

9A0ABEAF-D4E5-4BA6-8E8D-6FEB1D685B74 : dayalbumlite.app

17FCA978-3FF4-4FAD-A6CB-C346EAA816A2 : Weather.app

53C38695-70F0-42A0-9C59-34606A7802A8 : Podcasts.app

 

업로드 관련 앱은 Dropbox가 눈에 계속 들어옵니다.

5BB3AF5D-01CC-45D9-947D-977DB30DD439\Library\Caches\Snapshots 하위에 있는 com.getdropbox.Dropbox 폴더에 png 파일이 하나 있습니다.

 

↑ UIApplicationAutomaticSnapshotDefault-Portrait@2x.png

 

S-Companysecurity.pdf 라는 매우 보안문서 같은 파일이 있습니다.

모든 폴더에 cache.db 라는 파일이 있습니다. 

캐시 데이터라는 것이 매우 많은 데이터를 가지고 있습니다.

 

DB Browser for SQLite tool 을 이용해서 cache.db를 열어보겠습니다.

 

 

테이블이 총 2개가 있는데 data_cache는 데이터가 들어있지만 local_files_cache 테이블에서는 데이터가 들어있지 않습니다.

 

key이름 중에서 tim_folder 가 있는데 시간 값이 들어있는 것 같아 보입니다.

data를 확인해 보면 plist파일이 base64로 인코딩 되어 있는 것 같습니다.

 

base64로 디코딩해보면 아래와 같이 보입니다.

 

보기 쉽지 않기 때문에 plist editor 라는 툴을 이용해 보도록 하겠습니다.

xml 파일 코드를 plist Editor Pro 에 넣어보면 xml을 list로 쉽게 볼수 있습니다.

 

S-Companysecurity.pdf를 검색해 보겠습니다.

 

NS.time 은 Dcode를 이용해서 변환해 보겠습니다.,

 

 

 

2개의 시간중에서 빠른것이 수정 시간이고, 늦는것이업로드 시간으로 이해가 가능합니다.

 

수정 시간 : Tue, 01 May 2012 17:46:38 +0900

업로드 시간 : Thu, 27 December 2012 17:55:54 +0900

파일 이름 : S-Companysecurity.pdf

파일의 크기 : 2.1MB

 

Flag : 2012/12/27&17:55:54_2012/05/01&17:46:38_S-Companysecurity.pdf_2.1MB

 

출처 : 디지털 포렌식 with CTF