문제 확인
이번 문제도 이전과 비슷하게 디스크 파일을 주는 것 같다. 우선 다운을 받으면 13~~로 시작하는 파일을 다운 받을 수가 있다. 바로 이어서 분석을 시작하보자.
분석
HxD로 열어서 확인을 해보면 PK 로 시작하는 것을 확인할 수가 있다. 맨앞의 시그니처가 50 4B 03 04 로 시작하는 것을 확인할 수가 있으며 이에 해당 하는 시그니처를 찾아보니 ZIP, DOCX, PPTX, JAR 등 다양하다. 하지만 문제에서 Disk라고 했으므로 우리는 Zip이라 생각하고 진행을 해보자.
압축을 해제하면 sdc.dd 라는 파일이 하나 발견된다. 이 파일에서 우리는 단서를 찾아내어야 한다. 단서를 찾는 방법은 파일 카빙의 기법과 동일하게 시그니처를 찾는 방법을 사용했다. HxD로 연다음에 각 파일의 시그니처를 찾았다.
MZ, PK, PNG 등을 찾아보았을때 유일하게 PNG 시그니처를 하나 찾을 수가 있었다. 따라서 이 .dd 파일에는 .png 파일이 있다는 것을 확인할 수가 있었다.
복구
파일의 복구 과정은 Level 0 과 같기에 생략하고 역시 칼리리눅스에 있는 Foremost를 이용해서 복구를 하였다. 복구를 하면 아래와 같은 .png 파일을 하나 추출된 것을 확인할 수가 있다. 아래와 같이 플래그가 바로 나타나기에 바로 입력해주면 레벨 2로 진행할 수가 있다.
'Forensic > WarGame' 카테고리의 다른 글
| Real Digital Forensic Level 0 (0) | 2015.09.18 |
|---|