A회사 보안팀은 내부직원… (100)

내부 문서를 외부로 업로드한 흔적이 있을 것이다.

업로드 시간, 수정 시간, 파일 이름, 파일 사이즈를 구하면 된다.

 

일단 evidence.001을 풀고 FTK에 넣어보자!

Partition 1 -새 볼륨 - [root]에서 위 사진과 같은 파일을 10개 발견했다.

파일들은 이런식으로 .app/Documents/Library/tmp, 4개의 폴더가 있었다.

이 정보를 통해 10개의 폴더가 각각 어떤 어플의 폴더인지 알 수 있었다.

아래 10개이다.

Weather.app

CGV2.app

CNN-iPhone.app

Podcasts.app

Dropbox.app

WebViewService.app

HousekeepingLog.app

MyPainting.app

HarooNotes.app

dayalbumlite.app

이 중 문제에 언급된 '외부로 업로드'라는 키워드와 연결되는 건 'Dropbox.app'이라고 생각했다.

 

tmp 폴더에 들어가니 DiskImageCahce 폴더, run.log 파일이 있었다.

폴더는 비어있었다.

run.log에는 말그대로 로그 정보가 있었다.

무슨 로그인지는 모르겠다..

 

Library 폴더에는 이 4개 폴더가 있었다.

이 중 Caches에 들어가니

뭐라도 있을 것만 같은..

그 중 Snapshots 하위 폴더에서 'UIApplicationAutomaticSnapshotDefault-Portrait@2x'라는 이름의 파일이 있었다.

이미지를 보니 tim_folder와 관련된 스샷인 것 같다!

저기 보이는 S-Companysecurity.pdf가 업로드해서 문제된 그 파일이겠다.

우리가 알아야 하는 업로드 시간, 수정 시간, 파일 이름, 파일 사이즈 중에서 수정 시간 빼고는 여기서 다 얻을 수 있다.

그런데 업로드 시간이 초단위 까지 나오질 않아서.. 이건 다시 봐야할 것 같다.

현재까지 완성된 플래그: 2012/12/27&17:55:업로드 초_수정년/월/일&시:분:초_S-Companysecurity.pdf_2.1MB

 

다시 상위로 가서 cache.db를 보기로 하자.

업로드 관련 정보를 얻기위한 로그를 보고싶었는데 analytics.log엔 별게 없길래 cache.db를 보기로..했다..

DB Browser로 열어보자..

일단 data_cache랑 local_files_cache 테이블이 있고! 그 중 data_cache에 tim_folder 내용이 있었다.

여기서부터 초큼 벅찼다..

이게 중요한 건 확실한데 감이 안잡히는..

그러다 일단.. 문서 타입이 plilst라고 하니 그냥 구글링 때렸다.

!plist viewer란게 있구나

plist viewer로 저 위 엄청 긴..저거를 열어서 파일 이름을 검색해보니 뭔가 있었다!!

S-Companysecurity.pdf, 2.1MB라는 정보와 함께 378291354.000000/357554798.000000라는 것도 발견했는데..!

(여기서 당장 시간 디코딩 하고 싶었지만 참았다)

암튼 여기선 별 정보를 얻지 못했다.. 뭔가 cache.db라서 엄청난 것을 얻을 줄 알았다

이건 접고 Document 폴더에 있는 Dropbox.sqlite를 열어봤다.

이 3개 테이블 중에서 역시 cache가 들어있는 ZCACHEDFILE을 선택해봤다.

그랬더니 S-Companysecurity.pdf 경로가 보이는 로우에 MODIFIEDDATE 라는 (아까 봤던) 값 378291354을 발견했다.

이제 저 시간을 보고 어떤게 업로드고 어떤게 수정인지 보자.

물론 378~이 더 크니까 업로드 시간이겠지만..

https://www.timestampconvert.com/

TimestampConvert.com - Convert a date from / to a timestamp online

초단위는 몰랐던 업로드 시간은 2012/12/27&17:55:54, 수정 시간은 2012/05/01&17:46:38!!