파일을 다운받아 압축을 풀면 IconCache 파일이 보인다.
사용한 Tool은 Winhex를 사용하였다.
"D씨가 실행한 데이터 삭제 프로그램의 이름"을 추출 하는문제다,
프로그램이라는 말에 실행파일을 생각을 해서 exe를 검색해서 몇개를 보다보니 답이 나왔다.
IconCache는 사용자 컴퓨터 및 외부 저장매체에서 열람 및 실행한 응용프로그램들의
아이콘 캐시정보를 저장하고있다. 인터넷에서 다운 받는 경우에는 열람하지 않더라도 바로 캐시됨
Answer : f:\mytools\diskwipe.exe
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] Web History Problem 01-2 (0) | 2017.07.02 |
|---|---|
| [Crescendo] Web History Problem 01-1 (0) | 2017.07.02 |
| [Crescendo] Network Problem 02 (0) | 2017.06.14 |
| [Crescendo] Network Problem 01 (0) | 2017.06.14 |
| [Crescendo] Memory Problem 03 (0) | 2017.06.13 |
