디스크 포렌식 문제
문제 설명을 읽어보면 주어진 파일을 고쳐서 플래그를 달라고 한다.
주어지는 문제파일은 Corrupted.001 파일인데
확장자가 001인 파일은 디스크 이미지 파일이다.
이렇게 다운받으면 압축파일로 인식이 된다.
보통 이런 001 파일은 바로 압축을 해제하지 않고, 전용 프로그램을 이용해 살펴본다.
무료도구인 FTK Imager 를 사용해본다.
(https://accessdata.com/product-download/ftk-imager-version-4-5)
FTK Imager를 실행시켜서 lmage File을 선택해준다.
그런다음 주어진 Corrupted.001 파일를 선택해주고
Finish 버튼을 눌러주면 된다.
Corrupted.001 파일을 열어보면
말 그대로 파일이 깨졌기 때문에 Unrecognized file system 이라는 문구가 나온다.
왼쪽 하단을 보면 raw 데이터를 보여주는데 41 41 41 41 41로 도배가 되어있는게 보인다.
그런데 41 41 41 부분을 조금 내리다보면
NTFS 라는 글자가 보인다.
NTFS는 New Techonology File System의 약자로 윈도우 운영체제의 파일 시스템이다.
NTFS 파일시스템을 보이는 것처럼 EB 52 90 4E 54 46 53 이라는 시그니처를 갖는다.
파일시스템이 어떤건지 알았으니 복원을 시도해본다.
사실 이번 문제의 복원은 아주 간단하다.
HxD 프로그램으로 Corrupted.001 파일을 열어서
앞쪽에 있는 414141을 모두 날려주면 된다.
이렇게 날려버리고
맨 앞에 시그니처인 EB 52 90 4E 54 46 53 이 오게 만들어 준 뒤,
다시 FTK Imager로 열어보면
이번엔 Unrecognized file system이 아닌 New Volumn [NTFS] 라고 나오고
아래쪽에 디렉토리 구조도 나오는걸 볼 수 있다.
이제 폴더를 하나씩 눌러가면서 찾으면 된다.
pictures 폴더에 가면 Capture(1).PNG 파일이 있는데
해당 파일에 플래그가 적혀 있었다.
자세히 보고싶으면 해당 파일을 우클릭 해서 Export_Files... 버튼을 눌러주면
이렇게 추출할 수 있다.
'CTF > 포렌식' 카테고리의 다른 글
| [UMDCTF] Padme Twice - 포렌식 / 스테가노그래피 / PIL (58) | 2022.04.30 |
|---|---|
| [WPICTF] Luna - 포렌식 / 스테가노그래피 / zlib-flate / dd (56) | 2022.04.24 |
| [DCTF] Hidden Fox - 포렌식 / FireFox / Firepwd (26) | 2022.04.18 |
| [DCTF] Secure Creds - 포렌식 / Lsass / Mimikatz (38) | 2022.04.18 |
| [TGHACK] poke - 포렌식 / 스테가노그래피 / stego-lsb (74) | 2022.04.14 |