Windows Search

이 기회에 드림핵에 있는 포렌식 문제를 모두 풀어볼려고 한다.
일단 파일을 다운받자.
문제 설명을 보면 파일 속에 숨겨있는 텍스트 파일이 있고(flag.txt) 텍스트 파일 안에 플래그가 있을 것이라고 추측해 볼 수 있다.
다운로드한 파일을 보면

확장자 .edb 형태를 가지고 있다. 이 edb파일안의 구성파일들을 추출하는 프로그램이 따로 존재한다.
링크텍스트
Winsearchdbanalyzer 라는 프로그램이다. 이 프로그램에서 위의 파일을 열면 flag.txt를 발견할 수 있다. flag.txt파일을 보면 플래그 값을 알 수 있다.
그냥 툴을 잘 쓰면 되는 문제였다.

FFFFAAAATTT

이름이 참 인상깊다.
일단 파일을 다운받아보자.
파일 크기가 굉장히 큰데다, 확장자가 001로 되어 있다. 처음 보는 구조이다....

hxd로 일단 열어봤다.

디스크 관련 문제다.

파일 시스템 관련 문제인데 여기서 보면 fat32 파일시스템을 가진 걸 알수 있고, 시그니처를 보면 앞부분의 시그니처가 조금 이상하다는 걸 알 수 있다.

다행히도, 00000C00부분에 백업 파일이 존재한다. 이 위치로 가보자

여기에 있는 시그니처 값을 맨 앞에 붙여서 정상적인 mbr 섹터 시그니처로 복원시켜보자.

그리고 ftk로 파일을 열어보자

파일을 성공적으로 복원하여 ftk imager로 파일이 열린 것을 확인할 수 있다. 여기서 플래그 값을 얻을 수 있을 것 같다.

ftk imager로부터 아예 dreamhack 폴더를 추출했다. noway 압축파일을 열어보자

....또 암호가 걸려 있다. 다행스럽게도, 다른 사진 파일에 암호를 찾아낼 수 있었다.


해제 성공
개인적으로 파일 시스템 및 fat32 부트 레코드 공부가 필요한 문제였다. 디스크 포렌식 문제답게 ftk imager를 써 볼 기회라 꽤 재밌었다.