파일을 다운받아 압축을 풀면 10개의 LNK파일들이보인다.
사용할 Tool은 010 Editor이다.
문제는 숨김 속성을 가진 것의 크기를 물어본다.
Templates는 LNK로 해놓고 파일을 보게되면 이렇게 뜬다.
숨긴속성을 볼려면 File Attributes 부분을 참조 하면된다.
위치는 0x00000018 ~ 0x0000001B (4byte)
10.lnk 파일을 보면 Hidden 값이 1이다.
참조
https://msdn.microsoft.com/en-us/library/dd871338.aspx
Value |
Description |
FILE_ATTRIBUTE_READONLY |
파일 또는 디렉토리가 읽기 전용 |
FILE_ATTRIBUTE_HIDDEN |
파일 또는 디렉토리가 숨김파일 |
FILE_ATTRIBUTE_SYSTEM |
파일 또는 디렉토리가 운영체제의 일부이거나 운영체제에서만 사용됨 |
Reserved1 |
반드시 0 이어야함 |
FILE_ATTRIBUTE_DIRECTORY |
파일이 아닌 디렉토리 |
FILE_ATTRIBUTE_ARCHIVE |
파일 또는 디렉토리가 아카이브 파일 |
Reserved2 |
반드시 0 이어야함 |
FILE_ATTRIBUTE_NORMAL |
파일 또는 디렉토리는 다른 플래그가 설정되어 있지 않음 |
FILE_ATTRIBUTE_TEMPORARY |
파일이 임시저장에 사용 |
FILE_ATTRIBUTE_SPARSE_FILE |
스파스 파일 |
FILE_ATTRIBUTE_REPARSE_POINT |
파일 또는 디렉토리와 관련 재분석 지점이 있다. |
FILE_ATTRIBUTE_COMPRESSED |
파일 또는 디렉토리가 압축파일 |
FILE_ATTRIBUTE_OFFLINE |
파일의 데이터를 즉시 사용할 수 없다, |
FILE_ATTRIBUTE_NOT_CONTENT_INDEXED |
파일의 내용을 인덱싱 해야함 |
FILE_ATTRIBUTE_ENCRYPTED |
파일 또는 디렉토리가 암호화 되어있음 |
읽기 전용이랑 숨김을 설정한 파일
Answer : 1496
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] LNK Problem 04 (0) | 2017.06.11 |
|---|---|
| [Crescendo] LNK Problem 03 (0) | 2017.06.11 |
| [Crescendo] LNK Problem 01 (0) | 2017.06.08 |
| [Crescendo] Event Log Problem 03 (0) | 2017.06.08 |
| [Crescendo] Event Log Problem 02 (0) | 2017.06.07 |
