-
lolololologfileDreamHack/포렌식 2024. 7. 2. 16:32
자격증 시험도 끝났다.
이제 슬슬 생각해볼만한건이전에 규빈님께서 말씀하신 다양한 시나리오를 접하는 것이다.
그래서 CTF 문제를 좀 풀어보려고 한다.
https://dreamhack.io/wargame/challenges/727lolololologfile
Someone deleted the PDF file which has flag! How can I recover it?
dreamhack.io
파일을 받으면 e01 형태로 되어있으며, 별다른 특징이 보이지 않는다.
누군가가 PDF 파일을 삭제했다.
그 안에 플래그 값이 있으며, 이를 복구하는 과정이 필요한듯하다.
자격증 시험을 보다가 이런 문제를 보니이미지 디스크에서 보이는 파일들의 종류나 아티팩트들이 너무나도 적게 느껴졌다.
그래서 그냥 쭉 보다가 바로
단편화된 파일들이 삭제된 흔적을 찾았다.
딱봐도 이것들을 복구하면된다.
파일 시스템 상에서 파일을 삭제하더라도 데이터가 없어지지않고 할당-> 비할당 상태로 바뀌므로 어딘가에 반드시 남아있다.
unallocated space 영역에 단편화된 파일들의 파일 크기와 같게 파일들이 남아있다.
pdf로 시그니처가 시작되는 것을 보아 맞는듯하다.
이를 이제 HxD를 통해서 붙여서 복구해주면 파일을 정상적으로 열어볼 수 있다.
4개의 파일을 export하고 이어줘보자.
이어주면...
열어보면 답이 나오겠지 뭐
'DreamHack > 포렌식' 카테고리의 다른 글
Autoruns (0) 2024.10.11 Find the USB (1) 2024.10.06 Corrupted Disk Image (3) 2024.10.06 VBR (1) 2024.10.06 Enc-JPG (2) 2024.07.02