VBR

이번에 드림핵에 디지털포렌식 베이식 강의가 나왔다고해서 한 번 다 쓱 흝어보려고한다.

그래도 이왕이면 포스팅하면서 문제정도는 정리해도 괜찮겠지...?

문제의 제목은 VBR이다.

플래그의 값은 파일시스템의 종류, 볼륨의 크기, 볼륨 시리얼 번호를 알아야한다.

그럼 일단 어찌되었든 이미지 파일을 받아서 디스크 브라우징 도구로 열어봐야지 뭐가 되겠지?

일단 앞의 문자열이 exNTFS가 없는 것을 보아하니 이건 FAT32이다.
그러므로 파일시스템 = FAT32 = 1값이라고 일단 정해놓고....

남은건 볼륨의 크기와 시리얼 넘버이다.
이 정보들 또한 FAT32의 VBR에 모두 존재한다.

https://c0msherl0ck.github.io/file%20system/post-VBR/

VBR 분석 (FAT32/NTFS)

이 분의 포스팅 내용을 빌리면,

VBR 초반부분의 0x50만큼의 데이터들에 대한 정보가 있다.
여기 중에서 2가지의 정보들을 알아내기 위해서 봐야할 부분은

Total Sector 32
Volume ID

이렇게 2가지이다.

여기서 Total Sector 32 에 대한 설명을 보면,

파티션이 차지하는 총 섹터 수에 대한 값을 갖고있다.
문제를 통해서 확인해보면,

빨간 부분은 해당 볼륨이 몇개의 섹터를 가지고 있느냐에 대한 값이다.
대부분의 디스크 구조는 리틀엔디안으로 이루어져있으니까
0x00 80 3E 00 -> 0x00 3E 80 00 -> 0x3E8000 -> 4,096,000 이다.
정확하게 짚자면 4,096,000 개의 섹터를 해당 볼륨이 갖고있는 것이다.
하지만 여기서 구하라고했던 값은

보통 볼륨의 크기를 나타내는 단위는 바이트 단위이므로 섹터 단위에서 바이트 단위로 바꿔줘야한다.
그래서 내가 위의 VBR 구조에서 Byte per Sector를 연두색으로 표기했다.

1개의 섹터가 갖는 바이트는 0x00 02 이다. 이 또한 리틀엔디안이므로

0x00 02 -> 0x02 00 -> 0x200 -> 512 이다.

그러므로 볼륨의 크기 = 섹터의 개수 * 섹터당 바이트 = 4,096,000 * 512 = 2,097,152,000 이다.

이제 남은건 볼륨 시리얼 넘버인데 
이것 또한 위의 FAT32의 VBR 구조에 보라색으로 표기해놓았다.

이에 해당하는 값은

0x8A EE A8 0E 이다.

중요한건 시리얼 넘버 또한 리틀엔디안으로 표기된다.

0x8A EE A8 0E -> 0x0E A8 EE 8A -> 245,952,138 이다.

 

자, 이제 정리하자면

파일시스템의 종류 = FAT32 = 1
해당 볼륨의 크기 = 2,097,152,000
볼륨 시리얼 넘버 = 245,952,138

이므로, 이에 대한 값을 모두 더해주면

이렇게 나온다.
플래그 값은 DH{2343104139} 이다.
원래대로라면 드림핵 플래그는 풀이에 넣거나 공개하면 안되는데
이건 뭐... 조금이라도 트랙에 맞게 공부한다면 잘 찾고, 값을 다 구해놓고 더하면 끝이라서 어찌저찌 나와버리네
괜찮겠지...?

 

아무래도 드림핵 포렌식 트랙에서 4번째에 있는 Windows Forensics 까지는 막힘없이 다 빠르게 풀릴듯하다

.근데 드림핵에 포렌식 트랙 원래 8만원인가로 유료아니였나
왜 이제와서 검색하니까 안보이지
사는 사람이 없어서 맛보기로 지금 보이고 나중에 더 풀어내려고 하는건가...?