[Root Me] Deleted file - 포렌식 / FTK Imager

 

간단한 파일 포렌식 문제

 

문제 제목이 문제를 푸는 힌트가 된다.

 

반응형

 

문제 설명을 보면 사촌의 USB에서 

 

이름과 성을 찾아내라고 한다.

 

 

문저에서 주어진 파일은

 

ch39 파일이다.

 

확장자가 없는데

 

 

HxD 를 이용해 해당 파일을 열어보면

 

파일 맨 앞에 뭔가 파일명처럼 생긴 usb.image 가 보이고,

 

중간엔 알수없는 숫자들이 써있다.

 

이렇게 생긴건 .tar 압축파일일 가능성이 높다.

 

 

파일 이름을 ch39.tar 로 바꾼 뒤 압축을 풀면

 

정상적으로 압축이 해제된다.

 

 

거긴 아까봤던 usb.image 가 들어있는데

 

 

이 파일은 HxD 로 열어봤을 때

 

VBR 같은 부분이 보이는걸 보니

 

FTK Imager 로 열어보면 될 것 같다.

 

 

FTK Imager 를 실행하고

 

Imager File 을 선택해서 usb.image 를 지정해주면

 

 

이렇게 내부 구조를 확인할 수 있다.

 

[root] 아래 삭제된것 같은 anonyme.png 파일이 보이는데

 

 

해당 파일을 선택한 후

 

View files with plain text 버튼을 누르면

 

이름과 성을 확인할 수 있다.