[DFC 2021] 202 (4)

[DFC 2021] 202 (4)

문제에서 요구하는 바는 다음과 같다.

 

 

 

[문제 풀이]

[4번]

 

문제에서 볼 수 있듯이 Alice가 집에 폰을 두고 wearable 기기를 가지고 나간 것을 알 수 있다.

근데 문제에서 이걸 원한 건 아닐테고…

FTK Imager에서 ad1 문제 파일을 다시 확인해보았다.

워치의 사용 기록을 보면 될 것 같았다.

보통 이런 기기는 휴대폰과 호환을 위해 어플이 사용되고 있으니 usr > apps 폴더를 확인했다.

기어 관련해서 폴더가 뭐가 많다

이것저것 다 확인해봤다. (어디에 어떤 정보가 있을지 모르니까…)

그러던 중 com.samsung.runestone-gear 폴더에 로그 파일이 있는 걸 발견했다.

(다른 폴더에서는 정보가 있을 법한 파일을 찾지 못했다.)

약속을 잡은 게 5월 21일이어서 5월 21일 이후의 로그 파일을 확인했다.

쭉 보다보니까 gear change to standalone mode!

이렇게 찾는 게 맞나…

아무튼 wearable device의 모드가 standalone(독립적인) 모드인 걸 봐서

휴대폰 두고 집 밖으로 나간 것으로 확인됨

 

[문제 풀이 후기]

이번 문제는 사실 도구를 쓰지 않아도... 문제에서 정답을 찾을 수 있었던 문제인 것 같다.

그래도 증거를 찾아야 하기에 FTK Imager를 사용했다.

어디서 뭘 찾아야할지 고민을 되게 많이 했다.

그냥 메일 내용만으로는 정확한 증거가 될 수 없었기에 사용 기록이 남는 로그 파일을 찾아야겠다고 생각해서 gear 관련해서 폴더를 다 봤다... (무작정 삽질하는 방법 말고는 생각이 안 났다)

로그 파일을 쭉 보다보니까 mode 전환한 기록이 있길래 이게 정답인가보다!! 했다.

이게 맞는지 긴가민가했는데... 라이트업을 찾아보니까 다행히 푸는 과정이 일치했다.