누군가 플래그가 있는 PDF 파일을 삭제했습니다!
어떻게 복구할 수 있습니까?
처음에는 삽질을 많이했다.
문제 제목과 내용을 계속 다시 봤다. log file과 pdf file에 무슨 관계가 있을까…?
일단 pdf file을 중점적으로 들여다 보았다.
하지만 pdf file이 너무 많았다 이걸 다 들여다 보는 노가다 문제는 아닐 것이다. 아니여야만 한다.
그래도 나는 영 감을 잡을 수 없어서 pdf file을 다 들여다 보고, pdf file을 010 editor 로 가져와 보기도 했다. Pdf file에는 xml 코드와 js 코드가 있던 것도 있었다. 그래서 xml 을 이용해 서버로 어떤 데이터를 전송해야 flag가 나오나..? 싶었다. 내 상상력은 우주까지 가버렸다.
..만신창이가 되어버린 내 폴더
하지만 답은 없었다. 급기야 pdf file을 분석해주는 tool을 이용하기로 마음먹고
pdf stream dumper을 다운 받고 제일 수상해 보이는 template1.pdf 를 넣어본다.
넣어보니 이런 코드가 나왔는데 내가 이게 무슨 의미인지 해석할 수 없었다.
다른 방법을 찾아보기로 했다.
Log file 이 제목이니까 log file을 뒤져보기로 한다.
아…하핳… 정말 어지럽다. 나는 여기서 어떤 파일을 봐야 하는 것일까..
다시 천천히 문제를 읽어본다.
Pdf file을 찾아라… 삭제된 pdf file…을 찾아라…?
그렇다 나는 삭제된 pdf file을 찾아야 한다. 다시 FTK imager로 돌아간다.
삭제된 파일이 4개인데 전혀 pdf 처럼 보이지 않는다.
일단 복구해보려고 시도했으나 용량이 0으로 복구된다.
나는 seg1을 뽑고 010 editor에 올렸을 때 이걸 볼 수 있었다
드디어 flag가 떳다고 생각했다.
여기까지 문제를 풀기 시작한지 하루(6시간)하고 4시간이 지난시점이었다.
.
하지만 이건 파일의 hash list 였을뿐..이었다.. 왜 파일 내용에 hash list가 남아 있었는지는 …
아직도 의문이다..
그래서 다른 방법을 찾아보았다. 그러다 미할당영역을 보았는데
그렇다. Reg 1,2,3,4랑 크기가 똑같다. 저걸 복원하도록 한다.
Seg1 파일이랑 크기가 같은 02067 파일 시그니처가 pdf이다.
이제 다 왔다. 남은 파일을 순서대로 붙여준다.
감격의 순간
Flag pdf를 확인할 수 있다.
여기까지 16시간을 잘 태웠다.
