FFFFAAAATTT
FAT을 고치라고 문제 설명하고 있다. FAT32가 떠오른다.
우선 파일을 다운 받아보니 확장자가 001로 끝나는 파일이다.
001파일?
- 대용량 파일을 여러 부분으로 나눠 저장 할 때 첫번째 파일이다. 첫 번째 파일인 .001 파일을 실행하면, 나머지 파일들이 차례대로 연결되면서 전체 파일이 복원된다.
- 보통 압축 일 혹은 디스크 이미지 파일이다. 포렌식 도구에서 생성된 포렌식 이미지 파일일 수도 있다.
7zip을 이용해서 파일을 열어보니 noway!라는 폴더와 그 안에는 .DS_Store, ._flag.txt, FINISH_FIX.txt 이름의 파일들이 들어 있다. 암호화를 보니 모두 암호화 되어 있다.
HxD로 열어보니 디스크를 고치라고 엄청 얘기해주고 있다. 저렇게 첫번째 섹터가 다른 문자열으로 덮어져 있어서 정상 인식이 안되고 있는거 같다.
ftk imager도 역시 인식 못하고 있다. 왼쪽의 Unrecognized file system을 통해 특정 디스크, 이미지 파일에서 파일 시스템을 인식하지 못하는 경우라고 한다.
다시 돌아와서 좀 더 HxD로 파일을 확인하니 FAT32라는 것을 알 수 있었고 딱 섹터6에 분석할 만한 데이터가 있는 것을 확인할 수 있었다. 그래서 이 부분이 뭔지 먼저 확인해보자.
NTFS, FAT32 등의 모든 파일 시스템들은 특정 섹터에 이미지의 부트 레코더 백업 데이터 정보를 저장해둔다. 그리고 FAT 32는 시작 섹터에서 6번 째 이후 섹터(섹터6번)에 백업 정보가 저장되어 있다.
->사진의 부분이 부트 레코드
부트 레코드? 컴퓨터 부팅을 시작할 때 필요한 데이터를 유지하기 위해 사용하는 디스크 저장소 공간 섹션이다.
사실 어디에 넣어야 할 지는 잘 몰라서 맨 처음에 파일을 고치라는 곳에 넣어서 저장했다.
7zip을 이용해 다시 열어봤더니, 제대로 디스크 파일이 복구 됐는지 아까 안 보이던 폴더들이 생겼다. 일단 드림핵으로 들어가보자.
아까와 같은 noway!.zip이 있고 암호화된 파일도 그대로였지만, 다른 사진 파일들이 많이 생겼다. 근데 GG.png 파일은 열리지도 않고 크기도 수상하게 매우 작다.
HxD로 열어보니 zip key가 들어있다. 복사하니까 안되는데 직접 치니까 된다..
비밀번호로 압축해제하고 나니 ._flag.txt, FINISH_FIX.txt 파일 모두 열어볼 수 있었다. ._flag.txt 파일 크기가 너무 크길래 일단 대강 확인하고 FINISH_FIX.txt 열어보니 flag를 찾을 수 있었다.
