Who's Notebook?

xcz라는 사이트에서 포렌식 문제를 풀어보았다.
일단 파일을 다운받은 후, hxd로 파일을 열어보았다.

ADSEGMENTEDFILE이라는 문자열이 의미심장하다. file이 여러개로 나뉘어져 있다는 소리인가...?

느낌이 메모리 포렌식 문제인것 같아 ftk로 열어보려고 했으나, 열리지 않는다.
구글링을 통해(링크텍스트)ADSEGMENTEDFILE이 확장자 AD1 을 가지는 파일 형식이라는 것을 알아 냈다. 그러면 파일 형식을 .ad1 로 바꿔보자.


그 후, ftk imager로 파일을 열어보았다.
add evidence item으로 열어서 파일을 evidence tree에 올렸다.


위 사이트로 들어가 보았다. (링크텍스트)

어떤 사이트가 뜬다. gpx 파일을 다운받아 노트북이 이동한 위치를 알아내는 문제인 것 같다.
역시 포렌식 문제는 80퍼 이상이 툴 활용 문제이다. 군말없이 다운받아주자.

열기 전에 확장자를 .gpx로 바꿔주는 걸 잊지 말자. 이것 때문에 많이 헤맸다...

첫번째 위치: 공덕(GONGDEOK)

두번째 위치: 김포공항(GIMPOINTERNATIONALAIRPORT)

세번째 위치는 waypoint로 경도와 위도를 조사하여 찾았다. 세븐일레븐...(7-ELEVEN
이라고 쳐야 인정된다 습...☠️☠️)

주관적으로는 좋은 문제는 아니였다. 너무 애매한 요소가 많다...이거 풀 시간에 인프런이나 드림핵 강의 듣는게 나을듯