問題
解いてみた
ファイルをダウンロードして解凍するとddファイルがありました。
FTK Imagerで開いてみます。
確かにファイルがあることは確認できました。
そしてサイズが0になってることも確認できました。
ファイルを削除してるんならすぐ復元できそうですが、サイズ0で上書きした場合ってどうやって復元するんでしょう?
ちょっとわからなかったので、自分の端末で同じことをやってみました。
一度テキストに文字を書いて、それを保存。
そのあと文字を全部消して保存。
そのあとFTKで読み込んで、検索。
ということをやってみましたが、結果はヒットしませんでした。
イメージの中にFirefoxのデータもあったので、Firefoxで何かIDとpassを入力したんでしょうか。
そうするともしかするとブラウザにIDとpassを記録しているかもしれません。
Roaming以下をすべてこれに入れ替えてFirefoxを実行して確認してみます。
ログインとパスワードのところを見てみましたが、結果的に何も登録されていないようです。
Web履歴を見てみます。
ほとんどyahooしか見てないです。
問題になってたマルウェアにアクセスしていることもわかります。
んー。
もしかして$MFTに直接書かれてる?
確か、短い文字ならそのまま書かれたはず。
それっぽいところを見つけました。
イマイチ仕様がよくわかってませんが、とりあえず「.」がないところの連続した文字列を入力したら正解でした。