[Dreamhack] lolololologfile Write-up

다운받고 ftk imager에서 열어주자.

pdf파일들이 많은데 삭제된 파일은 seg1 , 2 , 3 , 4 네가지가 있어서 추출해 봤는데

추출이 되지 않았다.

$MFT파일이 있어서 추출해준 후 MFT Explorer에서 열어줘봤는데

별다른 정보를 얻을 수 없었다.

파일 시스템은 특정 파일이 삭제되면 새로운 데이터가 덮어 쓰여지지 않는 이상 삭제된 파일의 정보가 남아있기 때문에 복구가 가능하다. -> unallocated space는 새로운 데이터를 덮어쓸 수 있는 공간이니까 지워진 파일의 정보가 남아있을 수 있다.

추출해주고 HxD에서 열어줘 보았다.

02067 파일에서 PDF 헤더 시그니처가 있었다.

Hxd에 있는 파일 연결 기능을 사용하여 파일들을 연결해주면(파일 이름 pdf로 저장)

플래그를 구할 수 있다.