GrrCON2016 _19

0

디지털포렌식

목록 보기
68/115
post-custom-banner

Q. 피싱 메일을 보낸 이메일 주소는?

이거,,도 좀 보자 맘에 안드는데.

그 전에 풀었던 7번 문제중에 이와 동일하게 푸는게 있었던게 기억났음.
pst파일을 찾아서 복구해봤지. outlook 메일 관련 저장하는 파일

그후에 리눅스로 옮겨서 pfffexport tool를 써봤지. 그럼 메일이 5개 가량 나오고, 중간에 해커가 보낸걸로 추정되는 이메일이 있었는데, 이거 발신자 써봤지. 근데 아니더라?

  • 7번이랑 똑같은 메일임 비트코인 지갑으로 보내라는 그 메일.

해설을 보니까 얘는 그냥 outlook을 덤프해서 from:을 키워드로 검색해서 발신자를 찾고 그게 답이라고 하는데, strings 파일로 from: 검색하면 수상한 메일이랑 발신자 하나 나오긴 나옴.
근데 pff파일에서도 동일한 발신자가 보낸 메일이 하나 있는데, 이 메일은 수상한 내용이 아님
근데 strings를 통해 똑같은 발신자 검색하면 여기선 같은 발신자가 수상한 메일 하나 보낸게 있네??

pff에 없는데... 뭐지? 일단 답은 풀었는데 이거는 나중에 더 알아봐야할 거같음.

pff파일에 모두 저장되는게 아닌가봐

post-custom-banner

0개의 댓글