lolololologfile
문제 설명
Someone deleted the PDF file which has flag!
How can I recover it?
해설
문제 폴더를 열면 Image.E01 파일이 있다.
FTK Imager를 사용하는 문제라고 생각했다.
이미지 파일로 설정한 후 E01 파일을 열게 되면 아래와 같은 이미지를 볼 수 있다.
unallocated space 라는 폴더가 딱 보이는데, 문제 설명에 삭제된 PDF 파일이라고 했으니 파일 리스트를 보게 되면 숫자로 된 파일들이 보인다.
02067을 클릭하면 PDF의 파일 시그니처를 가진 것을 알 수 있다.
05082까지는 내용이 있는 파일 같다. 나머지 파일들은 비어 있는 파일이다.
혹시 몰라 DH로 단어 검색을 해보았으나 못 찾았고, 다른 힌트가 있을까 넘겨보던 중 05082 파일 끝부분에서 EOF 키워드를 찾았다.
내용이 존재하는 네 개의 파일들만 Exports Files 기능으로 추출해와서 HxD의 도구-파일 도구- 연결 에서 네 개의 파일들을 순서대로 맞추어 새로운 파일을 생성했다.
확장자명을 pdf로 바꿔주니, flag를 볼 수 있었다.
참고
https://naro-security.tistory.com/18
http://forensic-proof.com/archives/300
Whatever I want | Interested in DFIR, Security, Infra, Cloud