[ctf-d] 판교 테크노밸리 K기업에서… #1

용의자가 가장 많이 접근했던 사이트 주소를 알아내야 하는 디스크 문제...

 

유저 목록 중 눈에 띄는 7ester가 용의자일 것 같으니 7ester 위주로 살펴야 할 듯!

 

사용하는 브라우저에 따라 분석하는 툴이 달라진다고 하니 브라우저를 먼저 알아봐야 할 것 같다.

 

크롬이나 사파리를 사용하면 이 경로에서 Chorme이 보이거나 Apple Computer\Safari가 보여야 한다고 하는데 없는 것을 보아 Internet Exploror를 사용한 것으로 보인다.

 

여러 경로를 살피다 Users\7ester\AppData\Local\Microsoft\Windows\WebCache에 들어가니 WebCacheV24.dat이라는 파일이 있었고 찾아보니 바이너리 파일로 인터넷 익스플로러로 접속하면 기록되는 파일인 Index.dat과 비슷한 역할을 한다고 한다.

 

https://www.nirsoft.net/utils/ese_database_view.html

View / Open ESE Database Files (Jet Blue / .edb files)

dat 파일 분석을 위해 ESEDatabaseView를 설치해 주었다. (참고: https://su0-0su.tistory.com/34)

 

여기서 무엇을 봐야 하나 한참 막혔었는데.... 다른 분들의 풀이를 참고하니 Container_2에서 history 정보를 확인할 수 있다고 한다.

 

519회 접근한 사이트를 찾을 수 있다!

 

성공!