-
파일 열어보면 Code_Gate_Forensic 사용자 계정이 있어서 이거다 싶어서 다 뒤져봤는데 흔적은 찾을 수 없었음. 낚인듯.
-
Admin 계정을 봤더니 uTorrent 폴더가 있었음.
이거 분석하기 위해서 settings.dat파일을 봤는데, 이건 BEncode Editor 도구가 있어야 한다고 함. 찾아봤더니 online 사이트가 있어서 여기서 해독했음. 보면, 중간에 completed_torrents가 딱 하나 있고, 주소 적혀있었음. -
그 후 NTFS 파일 시스템의 메타데이터 Transaction을 가지고 있는 $Logfile, $MFT를 분석해야 함. NTFS Log tracker를 통해 할 수 있었는데, 해서 보면, 중간에 앞에서 확인한 주소로 다운받은 파일 명과 시간을 확인 할 수 있었음. 해시값 돌리면 답.
Forensic/Security/IT