For sweeping child sexual abuse, Police makes a big plan.
Police found out common point of child sexual abuses.
The common point is that they are motivated from sexual video clips and materials related with child.
Police started to investigate child pornography, and then arrests downloaders.
One day, Police swoops one downloader’s house, and arrests him. Then they analysis downloader’s computer and digital storage, but the child pornography was deleted all.
Although they analysis all traces to gather evidences, there was no trace to download child pornography.
Police confirmed that the downloader by checking traffic mornitoring.
Police has traffic information as evidence, they can’t prosecute the downloader for lake of evidence.
Now Police is asking you.
“Please, find a conclusive evidence to prosecute the downloader”
Key format : SHA1("md5(Evidence File)_Download Time")
Download Time : KST, YYYY/MM/DD_HH:MM:SS
[For 200 Hint] Dir_completed_torrents88
児童ポルノに関する証拠を見つけるのが問題らしい。 証拠ファイルはすべて削除されいるとのことなので、ダウンローダーのキャッシュかログファイルから答えを見つけるようだ。
まず file コマンドで確認するとディスクイメージのようなのでパーティションを確認してマウントする。
forensics200# file 69e315135f2ebfa153d947e3fa29c0c2
69e315135f2ebfa153d947e3fa29c0c2: x86 boot sector;
partition 1: ID=0x7, starthead 2, startsector 128, 1042432 sectors,
code offset 0xc0, OEM-ID " м", Bytes/sector 190,
sectors/cluster 124, reserved sectors 191, FATs 6,
root entries 185, sectors 64514 (volumes <=32 MB) ,
Media descriptor 0xf3, sectors/FAT 20644, heads 6,
hidden sectors 309755, sectors 2147991229 (volumes > 32 MB) ,
physical drive 0x7e, dos < 4.0 BootSector (0x0)
forensics200#
forensics200# mmls 69e315135f2ebfa153d947e3fa29c0c2
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000000127 0000000128 Unallocated
02: 00:00 0000000128 0001042559 0001042432 NTFS (0x07)
03: ----- 0001042560 0001048575 0000006016 Unallocated
forensics200# mount -o loop,offset=65536 -t ntfs 69e315135f2ebfa153d947e3fa29c0c2 evidence
forensics200#
マウントしたファイルを眺めていると uTorrent を使っており、これがダウンローダーと推測できるがそこからすすまず。ヒントとなる torrents88 で検索をしてみると、下記のような情報がでてきた。
forensics200# strings 69e315135f2ebfa153d947e3fa29c0c2 | grep torrents88 23:default_torrent_handleri1e7:devicesd7:deviceslee19:dir_active_download22:C:\Users \Administrator24:dir_active_download_flagi1e22:dir_completed_torrents88:C:\Users\CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup27:dir_completed_torrents_flagi1e17:dir_torrent_files88:C:\Users\CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup22:dir_torrent_files_flagi1e22:dl_image_modifiedsincel76:http://google.com/search?q=filetype%3Atorrent+ Tue, 14 Aug 2012 15:19:23 GMT80:http://www.bittorrent.com/search?client=%v&search=
この情報をもとに C:\Users\CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup27 を autopsy を使って探す。すると、Startup27 というのはなく 052b585f1808716e1d12eb55aa646fc4984bc862 と言うファイルが見つかった。ファイルの中身には TorrentRG.com とあり、ダウンロードファイルの可能性が高い。
このファイルの属性情報を確認する。
必要な情報は
- MD5: 449529c93ef6477533be01459c7ee2b4
- Download Time:Mon Dec 24 13:45:43 2012
となる。これを問題文の書式に直して sha1 の値を取得する。
forensics200# sha1sum
449529c93ef6477533be01459c7ee2b4_2012/12/24_13:45:43
20789d8dae4efe2ece9194ef08b1c752c04b5e47
20789d8dae4efe2ece9194ef08b1c752c04b5e47 が答えになる。
0 件のコメント:
コメントを投稿