파일을 다운받아 압축을 해제하면 5개의 이벤트로그 파일이 있다.
1번 문제를 보면 설치된 "비인가 프로그램"의 실행파일 이름이다.
이 프로그램은 "클라우드 공유프로그램"인데 이것을 찾기위해서는 Application 로그파일먼저 봤다.
그중에서도 이부분에서 설치된 내용이 나올꺼같다.
찾다보면 흔히 쓰는 Dropbox가 보인다.
1,2번 문제가 한번에 풀린다.
3번문제는 "방화벽 예외에 등록된 시점" 인데,
"Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall" 이벤트로그를 본다.
이벤트 ID가 2004(Windows 방화벽 예외 목록에 규칙이 추가되었습니다.)인 부분만 필터링을 걸고 "Dropbox"를 찾는다.
Answer : Dropbox_2016-10-13 12:25:36_2016-10-13 12:30:00
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] LNK Problem 02 (0) | 2017.06.11 |
|---|---|
| [Crescendo] LNK Problem 01 (0) | 2017.06.08 |
| [Crescendo] Event Log Problem 02 (0) | 2017.06.07 |
| [Crescendo] Event Log Problem 01 (0) | 2017.06.07 |
| [Crescendo] Prefetch Problem 03 (0) | 2017.06.07 |
