2024. 3. 23. 02:03ㆍ보안/포렌식
https://dreamhack.io/wargame/challenges/303
파일을 다운받은 후 FTK IMAGER에서 열어주면 Fix the Disk!!!!라는 문구와 바로 아래에 RRaA라는 게 나온다.
Fix the Disk라는 문구로 유추하건데 디스크가 손상되서 고쳐야 되는 문제고 , 저 Fix the Disk!!!!부분에 다른 내용이 있었는데 덮여씌워짐으로써 파일이 변형된 것 같다. 복구하기 위해 HxD에서 열어줘야 한다.
-> FTK imager에서 저렇게 파일 시스템을 인식하지 못하는 경우 , 부트레코드의 변조나 손상이 주된 이유라고 한다!
- 부트레코드 : 컴퓨터 부팅을 시작하는 데 필요한 데이터를 유지 관리하는 데 사용되는 하드 디스크의 저장소 공간 섹션. 보통 부트레코드는 하드 드라이브의 첫 번째 섹터에 보관되므로 시스템이 응용 프로그램을 시작하는 데 필요한 파일을 쉽게 찾고 읽고 실행할 수 있다.
찾아보니 이러한 경우 보통 벡업 부트레코드가 있다고 한다.
RRaA가 나오는 부분까지가 백업레코드이다. 이부분을 복사하여 첫번째 부분에 붙여넣어주고 저장해주자.
그럼 이렇게 FTK Imager에서 올바르게 파일 시스템을 인식한다.
문제에 Dreamhack이라는 딱봐도 수상한 폴더가 있고 압축파일들과 사진으로 이루어져있으니 이 폴더를 추출해준다.
flag파일이 있는 걸로 보아 이 폴더를 압축해제하면 될 것 같은데
압축해제하려고 하자 암호를 입력하라고 나온다. 암호는 다른 의미없어 보이는 사진에 있을 것 같다. 사진들을 각각 HxD에서 열어주다보면
GG란 사진에서 압축해제 비밀번호를 찾을 수 있다. 입력해주면 플래그가 나온다. 근데 flag가 아니라 다른finish_fix 파일에 있었다.
답 : DH{3a5y_FAT32_r3bui1d}
'보안 > 포렌식' 카테고리의 다른 글
| PNG 파일 구조 (0) | 2024.03.28 |
|---|---|
| [Dreamhack] Basic_Forensics_1 write-up (0) | 2024.03.23 |
| Net-Force Steganography 6번 Write-up (0) | 2024.03.17 |
| Net-Force Steganography 5번 Write-up (0) | 2024.03.15 |
| Net-Force Steganography 3번 Write-up (0) | 2024.03.15 |