foxcomplex

문제 설명

문제 풀이 1.

문제 설명에서는 FFFAAATTT를 고쳐라 라는 뜻으로 볼 수 있겠다. 우선 문제파일을 다운 받으면

FFFFAAAATTTT 파일이 나오게 된다.

우선 HXD로 열었을 때 다음과 같이 나왔다.

FIX the disk라고 디스크를 고치라는 이야기 인것 같다.

고치기 위해서 파일시스템이 무엇인지 알아야 하기 때문에 다음과 같이 찾아낼 수 있었다.

FAT32라는 것을 알 수 있었고 이 파일 시스템에서는 6번째 섹터가 복구 섹터라는 것을 알아낼 수 있었고 해당 섹터를 FIX the disk 부분 즉 부팅 영역에 붙이고 이미지 파일을 FTK imager로 열어 보았습니다.

위처럼 Dreamhack 폴더가 존재해서 들어가 보았더니 위처럼 파일이 존재했습니다.

zip파일 안에는 flag 파일이 존재 했지만 비밀번호가 걸려있어서 내용을 확인해볼 수 없었습니다.

비밀번호를 알아내면 flag를 얻어낼 수 있을 것 같다고 생각했습니다.

모든 파일을 다 확인해본 결과 GG.PNG파일을 텍스트로 열어보니 다음과 같이 나왔습니다.

비밀번호를 알아낼 수 있었고 이를 이용해 zip파일을 열어봐서 다음과 같이 플래그를 획득할 수 있었습니다.

이제 돌아가서 FTK imager를 사용하지 않고 해결하는 방법은 다음과 같습니다.

문제풀이 2.

zip key를 다음과 같이 알아낼 수 있고

zip 파일을 가져오기 위해서 시그니처를 이용해서 가져옵니다. 모든 zip파일을 가져 와서 압축 해제 해보면 됩니다.

시그니처는 다음과 같습니다.

해당 zip 부분을 전부 가져와서 임의의 파일을 생성해 빈 영역에 그대로 복사 붙혀넣고 .zip으로 만들고 압축해제를 하면 똑같이 풀이해낼 수 있었습니다.

0. 문제 지문

Do you know "Windows Search" with (windows + s) command?

Find the flag.txt!

Windows Search와 windows + s 커맨드를 아냐고 묻고 flag.txt을 찾으라고 하는 내용입니다.

1. 문제 풀이

windows.edb 파일

우선 Windows Search 란 윈도우 버튼을 눌렀을 때 나오는 검색화면을 지원하기 위해

운영체제에서 파일 시스템 전체를 인덱싱하는  기능입니다.

그렇다면 .edb 파일은 해당 데이터들을 모아둔 데이터들의 집합체 라고 생각해낼 수 있었습니다.

해당 파일을 열어주기 위해

WinSearchDBAnalyzer 도구를 이용해 다음과 같이 풀 수 있었습니다.

0. 문제 지문 읽기

문제 설명에는 다음과 같이 작성되어 있습니다.

Someone deleted the PDF file which has flag!

How can I recover it?

플래그가 담겨있는 PDF파일이 삭제 되었다고 합니다. 이를 복구 해달라고 합니다.

1. 문제 풀이

문제 파일을 다운로드 받습니다.

Image.E01 파일

sha256 : 36c6d523ed44e2be02dbfebb2369154125ebc6775952c947dff9e89efbc105ca

SHA1: cb75da360c5bf93756119f11a159744f6cc60fb9

확장자가 E01파일입니다. 이는 Encase Forensic Image 포렌식 이미지 포맷 형식임으로 유명한 도구 FTK Imager로 열어보도록 하겠습니다.

다음 사진은 FTK Imager로 확인한 결과 입니다.

위 사진에서 가장 눈에 띄는 것은 이전 글에도 올린 unallocated space 입니다. 비할당 영역을 살펴보자 다음 사진처럼 나왔습니다.

아직까진 무엇을 의미하는지 잘 모르겠지만 파일의 크기가 적당히 있다 정도만 알 수 있는 것 같습니다.

다음 사진은 root에서 삭제된 파일만 확인해본 결과를 캡처해온 사진입니다. seg1, seg2, seg3, seg4가 삭제되었다 라는 것을 확인해 볼 수 있었습니다.

위 두 사진과 공통점을 하나 발견할 수 있었는데 그것은 파일의 크기입니다. 현재 저 삭제된 파일을 눌러보면 아무것도 뜨지 않지만 비할당 영역에서 똑같은 사이즈를 클릭해보면 정보를 확인해 볼 수 있었습니다.

그렇다면 비할당 영역에 있는 것은 아직 덮어써져 있지 않기를 바라면서 위의 오른쪽 사진 정보를 확인해보면 PDF파일이라는 것을 확인할 수가 있었습니다. 우선 seg1파일을 pdf확장자로 변환 해주고 복구가 되었는지 확인해보았습니다.

이게 정답이 아니였다는 것을 알 수 있었습니다.

그럼 어떤식으로 풀이를 해야 정확하게 답을 얻어낼 수 있을까 생각했고 유명한 NTFS Log Tracker 도구로 파일이 어떻게 삭제 되었는지 확인을 해볼 필요가 있다고 생각했습니다.

FTK Imager 에서 $J, $LogFile, $MFT 를 export 해주고 파서를 진행하였습니다.

당연히 제일 먼저 seg1이 생성되었는지부터 확인해본 결과 다음 사진과 같이 나오게 되었습니다.

2067(12)가 의미하는 바는 seg1 파일이 2067번 클러스터부터 12개 클러스터 영역에 생성된 것을 의미합니다.

다음 사진은 seg2를 살펴보았고 마찬가지로 3405번 클러스터 13개 영역에 생성

다음 사진은 seg3이고 4466 클러스터 부터 14개 영역에 생성

다음 사진은 seg4이고 5082 클러스터 영역부터 18개 영역에 생성

그 다음으로는 seg4, seg1, seg2, seg3 가 삭제 된 것을 볼 수 있습니다.

위의 내용을 아래와 같이 정리할 수 있습니다,

- seg1 : 2067 => 0x813, 12(0xC) 영역3

- seg2 : 3405 => 0xD4D, 13(0xD) 영역

- seg3 : 4466 => 0x1172, 14(0xE) 영역

- seg4 : 5082 => 0x13DA, 18(0x12) 영역

위와 같이 seg1 ~ seg4의 각각의 시작 영역을 섹터로 HXD를 이용해 image.E01을 직접 확인해보면 다음과 같습니다.

따라서 seg1~seg4 순서대로 파일을 합쳐주면 다음과 같이 플래그가 담긴 PDF파일을 복구할 수 있습니다.