반응형

FTK imager 6
[Root Me] Deleted file - 포렌식 / FTK Imager

간단한 파일 포렌식 문제 문제 제목이 문제를 푸는 힌트가 된다. 문제 설명을 보면 사촌의 USB에서 이름과 성을 찾아내라고 한다. 문저에서 주어진 파일은 ch39 파일이다. 확장자가 없는데 HxD 를 이용해 해당 파일을 열어보면 파일 맨 앞에 뭔가 파일명처럼 생긴 usb.image 가 보이고, 중간엔 알수없는 숫자들이 써있다. 이렇게 생긴건 .tar 압축파일일 가능성이 높다. 파일 이름을 ch39.tar 로 바꾼 뒤 압축을 풀면 정상적으로 압축이 해제된다. 거긴 아까봤던 usb.image 가 들어있는데 이 파일은 HxD 로 열어봤을 때 VBR 같은 부분이 보이는걸 보니 FTK Imager 로 열어보면 될 것 같다. FTK Imager 를 실행하고 Imager File 을 선택해서 usb.image 를 지..
워게임/Root Me 2023.07.05

[Space Heroes CTF] Time Leap - 포렌식 / FTK Imager

FTK Imager 라는 도구를 이용해 풀 수 있는 포렌식 문제이다. 이전에도 비슷한 난이도의 문제들을 다룬적 있었다. (https://hackingstudypad.tistory.com/203) 문제에서 주어지는 것은 convergence.img 파일이다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager 를 실행시킨 후 Add Evidencd Item 버튼을 눌러 Image File을 선택해준다. Select File에..
CTF/포렌식 2023.05.06

[2020CCE] Simple Carv - 포렌식 / FTK Imager

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. 그중 Simple Carv 문제 disk.img 파일이 주어진다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager..
CTF/포렌식 2022.10.18

[TenableCTF] The One with a Lot of Cats - 포렌식 / FTK Imager

간단한 포렌식 문제이다. 문제에 그 어떤 설명도 없다. 문제파일로 주어지는것은 ctf.img 파일이다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager 를 실행시킨 후 Add Evidencd Item 버튼을 눌러 Image File을 선택해준다. Select File에서 문제에서 주어진 ctf.img 파일을 선택해주고 Finish 버튼을 눌러주면 된다. 그럼 이렇게 이미지 파일이 로드되면서 ext4 파일시스템을 사용하는..
CTF/포렌식 2022.07.16

[CrewCTF] Corrupted - 포렌식 / NTFS / FTK Imager

디스크 포렌식 문제 문제 설명을 읽어보면 주어진 파일을 고쳐서 플래그를 달라고 한다. 주어지는 문제파일은 Corrupted.001 파일인데 확장자가 001인 파일은 디스크 이미지 파일이다. 이렇게 다운받으면 압축파일로 인식이 된다. 보통 이런 001 파일은 바로 압축을 해제하지 않고, 전용 프로그램을 이용해 살펴본다. 무료도구인 FTK Imager 를 사용해본다. (https://accessdata.com/product-download/ftk-imager-version-4-5) FTK Imager를 실행시켜서 lmage File을 선택해준다. 그런다음 주어진 Corrupted.001 파일를 선택해주고 Finish 버튼을 눌러주면 된다. Corrupted.001 파일을 열어보면 말 그대로 파일이 깨졌기 때..
CTF/포렌식 2022.04.20

[Space Heroes CTF] Interstellar Mystery - 포렌식 / Strings

중급 난이도의 포렌식 문제 난이도가 중급이지만 너무 쉽게 풀려버렸다. 해당 문제에서는 chall.zip 이라는 압축파일이 하나 주어지게 된다. 압축을 풀어보면 이렇게 qcow2 라는 확장자를 가진 파일이 두개 나온다. 개인적으로 qcow라는 확장자를 처음봐서 검색해봤더니 QMEU에서 사용하는 디스크 이미지 파일 포맷이라고 한다. QMEW는 가상화 프로그램 중 하나이다. 디스크 이미지 파일이기 때문에 FTK Imager 프로그램으로 해당 파일을 열어볼 수 있다. File - Add Evidence Item - Image File 을 선택해주면 된다. 파일을 열어보면 Unrecognized file system 이라고 나오는데 오른쪽 하단을 보면 알겠지만 dirty bit, corrupt bit 이런식으로 ..
CTF/포렌식 2022.04.09
1
더보기
반응형

티스토리툴바