1. 문제 - lolololologfile
2. Write Up
첨부된 파일은 Image.E01 이다.
문제 설명을 보면, 삭제된 플래그가 담긴 PDF 파일을 복구해야 될 것 같다.
따라서, 해당 파일을 FTK Imager 로 열어 삭제된 파일이 있는지 확인해보자.
가. FTK Imager로 열기
root 엔 많은 PDF 파일이 있었다.
해당 파일들을 추출하여 열어보았으나 플래그는 발견할 수 없었다.
(애초에 이 파일들은 지워진 것도 아니었다.)
지워진 파일은 seg1~4 인데, 이를 뽑아내려고 했으나 추출되지 않았다.
나. unallocated space 확인
파일 시스템은 특정 파일이 삭제되면
그 파일과 연관된 클러스터를 '0'이라는 레이블로 지정하지만,
새로운 데이터가 덮어 쓰여지지 않는 이상 삭제된 파일의 정보가 남아있기 때문에 복구가 가능하다.
unallocated space 는 결국 새로운 데이터를 덮어쓸 수 있는 공간이기 때문에,
이곳에 지워진 파일의 정보가 남아있을 가능성이 있는 것이다.
실제로 이곳에서 seg1~4 에 해당하는 파일 크기를 확인할 수 있었다.
이를 추출해보면 다음과 같은 파일들을 얻을 수 있다.
다. HxD 확인
02067 파일에서 PDF의 헤더 시그니처를 발견하였다.
이 4개의 파일을 순서대로 합치면 지워진 PDF 파일이 복구될 것 같다.
HxD 에서 제공하는 연결 기능을 사용해 합쳐보자.
연결한 파일을 flag.pdf 로 저장한 뒤 열어보았다.
포렌식