Test

#About

당신은 L정보통신 업체의 직원으로서, 한 사용자가 PC를 이용중에 USB 안에 들어있던 일을 하는데 중요한 id값이 적힌 파일을 삭제하였으며, 해당 파일의 복구를 요청한다는 의뢰를 받게 되었다.

해당 파일을 복구하여 플래그를 획득하여라.

[ File Hash ]

MD5 checksum : 0681B4441762C406F32E026108971928

SHA1 checksum : 3DB60C1005BBB5D5C35D435066FE3834732DC088

#Solution

[그림 1] - 문제 파일 확인

[그림 2] - 이미지 파일의 디렉터리 구조 확인

이전 문제에서 주어진 이미지파일의 디렉터리들과 별 다를게 없으며 NPKI라는 공인인증서가 담긴 디렉터리가 하나 더 있음을 확인했고, 

마찬가지로 삭제 된 파일이기 때문에 이전 문제와 같이 비할당영역에서 해당 파일을 확인 및 파일복구를 할 수 있었다

[그림 3] - 비할당영역에서의 플래그 값 확인

Answer = 60a1f926-c87c-45d3-a4ff-be0ecbfc7caa

#About

삭제된 파일을 찾아 플래그를 획득하시오.

[File Hash]

MD5 checksum : AC22967AB89EB9E671A74D6CD2524AE5

SHA1 checksum : 02EBA0CF40A587666856E4526E49DA78FC23B24F

#Solution

[그림 1] - 문제 파일 확인

파일의 확장자는 E01임을 확인할 수 있고 이는 압축 디스크 이미지 파일의 확장자이며 Encase 또는 FTK Imager로 해당 파일을 열어 분석할 수 있다

따라서 아래와 같이 FTK Imager로 열어주었으며 해당 도구의 출처는 아래의 링크와 같다

http://www.accessdata.com/product-download

[그림 2] - FTK Imager를 통한 디스크 이미지 파일 구조 확인

위 이미지 파일의 파일시스템은 NTFS임을 확인했으며 위 그림에서도 확인할 수 있듯 단순한 디렉터리 구조를 가지고 있었다

파일을 휴지통에서 삭제하게되면 NTFS에 위치하던 해당 파일에 할당된 영역이 다른 파일이 덮어 쓸 수 있도록 비할당영역이 되며 

아래와 같이 비할당 영역에서 해당 문제에서 요구하는 플래그를 확인 및 파일복구를 할 수 있었다

[그림 3] - 비할당영역에서의 삭제된 플래그 확인

Answer = L0v3_Forens1cs