- 확장자가 없으니까, hex editor or 리눅스 file로 시그니처/ 유형 확인
7z 파일임. - 압축 해제하고 또 파일의 유형을 확인하면 sqlite 포맷이니까, sqLiteBrowser로 까보면
url 정보가 쭉 나오는데, 특별히 수상한 주소는 없음 - 이상한게 없어? 그럼 답은 strings야.
strings 명령어 txt파일로 빼는 방법
: strings 파일명 > ABCD.txt
이렇게 하면 됨. - 이렇게 하면 파일 생성되고 안에 txt 파일 까서 보면, url이 sql 까봤을 때는 없었던 url이 있음.
utma :
1. 각 도메인 해쉬값
2. 고유 식별자
3. 처음 웹 사이트 방문한 타임스탬프
4. 이전 방문 시 타임스탬프
5. 현재 방문 타임스탬프
6. 시작된 세션 수 - 해당하는 값 dcode로 돌려서 답 입력
Q. 근데, 아무 정보도 없는데 decode format을 어떻게 설정하는건지??
Forensic/Security/IT