- linux로 옮겨서 파일 유형 확인해보면 ext2임.
- foremost를 통해서 복구하면 이미지 파일 3개 나오는데, 그 중 하나에 보면 플래그 적혀있음.
- foremost: 데이터 구조 기반으로 손상된 파일 복구하기 위한 Carving Tool임.
알수 없는 파일, 합쳐져있는 파일 등 분리해낼때 사용
사용옵션 :
$ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d][-t <type>] [-s ][-k <size>]
[-b <size>] [-c <file>] [-o <dir>] [-i <file] -t - specify file type. (-t jpeg,pdf ...)
뽑아낼 파일 형식을 지정한다.
-a - Write all headers, perform no error detection (corrupted files)
가능한 모든 파일을 검색하고 출력한다.
-w - Only write the audit file, do not write any detected files to the disk
-o - set output directory (defaults to output)
출력파일을 저장한 디렉토리를 지정한다.
-i - specify input file (default is stdin)
입력 파일을 지정한다.
-v - verbose mode. Logs all messages to screen
진행과정을 출력한다.
예를들면 test.png 라는 파일이 있고 이 파일에서 모든 파일을 분리해내고 싶을때 다음과 같은 옵셥을 사용할 수 있다.
foremost -i test.png -a
Forensic/Security/IT