https://s3-us-west-2.amazonaws.com/secure.notion-static.com/60096bd0-49bc-481d-bea1-808d7676372a/Untitled.png

비밀번호 파일이 저장된 탑재된 USB의 드라이브 문자를 찾기 위해서 system.L01 파일과 usb.dd 파일을 열어보자.

system.L01 파일은 Michael이 사용했던 company's server의 레지스트리가 들어있는 디스크이고, usb.dd 파일은 VPN의 비밀번호를 저장했었던 usb 디스크 파일이다.

system.L01 파일에서 Registry 파일을 추출해서 Rega로 확인해 보자. 경로는 아래와 같다.

HKLM\\SOFTWARE\\Microsoft\\Windows Portable Devices\\Devices\\{}\\FriendlyName

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/06682ba1-4405-48fc-8220-e1f978e041a6/Untitled.png

usb의 드라이브 문자는 E:\\ 이다.

이번에는 삭제된 암호 파일의 이름을 찾아 보자. 해당 데이터는 usb.dd 디스크 파일에 있을 것이기 때문에 디스크 내에 들어있는 $LogFile 과 $MFT 파일을 추출해서 NTFS Log Tracker에 넣어보자.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/c4c2c422-e098-4c4a-9c27-a7ea18abdc49/Untitled.png

CSV 파일로 추출후에 삭제된 암호 파일의 이름을 찾아보자.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/cc7b9632-ad22-4781-9757-05519a6a6025/Untitled.png

암호파일로 의심되는 파일인 [email protected] 파일을 찾을 수 있었다.

$MFT 에서는 [email protected] 라는 문자열을 찾아 볼 수 없었다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/aebe7a03-197a-4069-a512-a6c6f8a4285c/Untitled.png

그렇기 때문에 복구 도구인 MiniTool Power Data Recovery 를 이용해서 복구해 보자.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/01046fad-ac00-479f-8eda-b6157efd1e8b/Untitled.png

프리뷰 기능을 이용해서 확인해 보면 아래와 같이 VPN Password 가 적혀 있는 것을 확인 할 수 있다.

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/f629ba51-eea2-4e78-82f1-a1618541c5ea/Untitled.png

VPN Password 는 dje3ubvi!@64 이다.