#About
삭제된 파일을 찾아 플래그를 획득하시오.
[File Hash]
MD5 checksum : AC22967AB89EB9E671A74D6CD2524AE5
SHA1 checksum : 02EBA0CF40A587666856E4526E49DA78FC23B24F
#Solution
[그림 1] - 문제 파일 확인
파일의 확장자는 E01임을 확인할 수 있고 이는 압축 디스크 이미지 파일의 확장자이며 Encase 또는 FTK Imager로 해당 파일을 열어 분석할 수 있다
따라서 아래와 같이 FTK Imager로 열어주었으며 해당 도구의 출처는 아래의 링크와 같다
http://www.accessdata.com/product-download
[그림 2] - FTK Imager를 통한 디스크 이미지 파일 구조 확인
위 이미지 파일의 파일시스템은 NTFS임을 확인했으며 위 그림에서도 확인할 수 있듯 단순한 디렉터리 구조를 가지고 있었다
파일을 휴지통에서 삭제하게되면 NTFS에 위치하던 해당 파일에 할당된 영역이 다른 파일이 덮어 쓸 수 있도록 비할당영역이 되며
아래와 같이 비할당 영역에서 해당 문제에서 요구하는 플래그를 확인 및 파일복구를 할 수 있었다
[그림 3] - 비할당영역에서의 삭제된 플래그 확인
Answer = L0v3_Forens1cs
'Wargame' 카테고리의 다른 글
| [Lord of Buffer Overflow] Gate > Gremlin (0) | 2017.11.17 |
|---|---|
| [Cresendo] File Delete Problem 02 (0) | 2017.11.16 |
| [Cresendo] Hidden File Problem 01 (0) | 2017.11.15 |
| [Cresendo] Stego Problem 01 (0) | 2017.11.14 |
| [Cresendo] Registry Problem 01 (0) | 2017.11.14 |