101 - Where is his money

문제 파일

FTK Imager로 Disk Dump할 때 생성되는 확장자가 ad1인 파일로

ADSEGMENTEDFILE이라는 Signature를 지니고 있고 이는 Access Data에서 지원하는 File Format

 

 

FTK Imager로 열어보면 Users\Daddy\Downloads위치에 bitcoin-22.0-win64-setup.exe가 존재

bitcoin 설치파일로 보여지고 해당 파일들이 어디에 위치하는지 찾아보았다.

C:\Etc\Daddy위치에 blocks, chainstate, Mine과 같은 디렉터리들이 존재하고 여러 파일들이 존재합니다.

일단 해당 디렉터리와 파일들이 무엇을 의미하는지 조사해보았다.

 

Data directory layout

Bitcoin core와 관련한 디렉터리 및 파일들이 존재했고 색으로 표시된 부분은 Etc\Daddy위치에 존재한 파일들이였다.

 

또한 C:\Etc\Daddy의 debug.log라는 log 파일을 살펴보면 Bitcoin Core version v22.0.0이라는 사실 확인 가능

debug.log

Bitcoin Core를 설치 했다 라는 사실에 대한 근거

• Bitcoin Core 설치프로그램
• Bitcoin Core를 설치할 때 생성되는 Directory와 파일들
• debug.log에 찍힌 log 내용

 

debug.log에서 알 수 있는 wallet file에 대한 정보

debug.log

C:\Etc\Daddy\Mine라는 경로로 접근 해봤지만 wallet.dat라는 wallet 파일은 찾을 수가 없다.

 

파일을 다른 이름으로 변경해 찾기 힘든 경로에 이동시켜 놓았을 가능성이 존재

파일을 숨겨 놓았을 경우 signature에 주목할 필요가 있는데 wallet 파일의 경우 아래와 같다.

Autopsy tool에서 해당 signature를 이용해 파일을 찾아보면 AppContainerUserCertRead.sys파일이 발견됩니다.

결과적으로 C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\SystemCertificates\My\AppContainerUserCertRead.sys가 숨겨둔 wallet file이라는 사실을 알 수 있다.

 

결과 검증

C:\Users\Daddy\Downloads\bitcoin-22.0-win64-setup.exe를 사용한 Bitcoin Core 설치해서 확인

찾은 wallet file(AppContainerUserCertRead.sys)을 wallet.dat라는 명으로 C:\Etc\Daddy\Mine에 위치시키고 해당 지갑을 열어본다.

2022-05-10 16:09에 initBalance [+0.00344367 BTC]

2022-05-10 21:14에 SendtoOther [-0.00344367 BTC]

22.5.10 16:09와 21:14에 잔고를 초기화하고 다른 이에게 보낸 사실과 함께 주고 받은 계좌 정보도 획득할 수 있다.

Reference

• https://github.com/bitcoin/bitcoin/blob/master/doc/files.md