Triage VM Questions
-
[DEFCON DFIR CTF 2019] Triage VM Questions$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 12. 02:23
Who's That User? user의 이름은 무엇인가? 라는 문제입니다. vmdk 파일이 있길래 DFA_CTF_Triage.vmdk 파일을 FTK Imager 로 열어서 확인했습니다. Flag : flag Thee who logged in last 가장 최근에 로그온한 시간은 언제인가? 라는 문제 입니다. 최근 로그온 시간은 SAM 파일에 나와 있기 때문에 export 해서 확인해 보겠습니다. [root]\Windows\System32\config\SAM 경로에 있습니다. 레지스트리 분석 도구중 하나인 rip.exe 로 풀이를 해볼생각입니다. rip.exe -r "SAM경로" -f sam Flag : flag Down Time? More like Frown Time 마지막으로 종료한시간이 언제인가요?..