Defenit CTF - Find Tangential Cipher
안녕하세요.
포렌식 CTF는 자주 겪기 힘들고
문제를 구하기도 힘들기 때문에
공부하기 어려웠지만
이번기회에 기회가 생겨서
공부도 할 겸 정리해볼까합니다.
그 전에 스포하나만 하려구 합니다!!
Windows에서 파일을 삭제하면
파일의 메타데이터만 삭제하기 때문에 실제 데이터는 남아있습니다.
하드디스크는 덮어쓰기(overwrite)가 가능하므로
데이터하나하나까지 지우지 않는 것이지요..
언젠가는 덮어질거라는 생각으로요!
우리가 파일에 엑세스하기 위해서는
파일의 메타데이터(파일정보)가 있어야하는데
그 부분만 지운다는 말입니다.
여기서 말하는 메타데이터는
이미지파일이라면
카메라정보, 활영시간, 해상도, 크기, MAC시간, 경로 등이 있겠죠?
문서파일에는 지은이(만든이)도 있을거구요
이 데이터만 가지고도
피해자가 만든파일을 용의자가 열었는지 수정했는지
알 수 있답니다.(증거)
어쨋든
파일 내에 있는 데이터는 삭제되지 않기 때문에
추후 디스크를 압수했을 때
파일시스템별로 복구방식에 따라 복구를 하거나?
데이터카빙을 이용하여
바이트스트림 내에 있는 의미있는 데이터를 복구할 수도 있습니다.
이미지 하단이 잘리거나 할 수도 있지만 말이죠ㅎㅎ
위에는 보편적인 내용을 써머리한거구..
용의자가
완전삭제프로그램을 사용하여 파일을 삭제했다면 어떨까요?
디스크를 압수했으나 데이터를 복구할 방법은 없지요..
그런데 말입니다?!
보통 이미지나 문서는 썸네일이 있습니다.
파일은 완벽히 지워서 복구가 불가능하지만
그 파일의 축소판?인 썸네일은 확인할 수 있습니다.
이미지면 축소된 이미지, 문서면 첫 페이지정도를 의미하지요!
결국 이 문제는
압수한 디스크 내에서 용의자가 완전삭제한 문서의
썸네일을 확인하여
용의자가 지우고 싶어했던 문서의 내용을
확인하는 것입니다.
두둔두둔!! 시작!
먼저 문제를 보겠습니다.
While the whole world is under the situation of COVID-19, we found out that illegal weapon trading was going on the black market, and confiscated the suspect_man's PC.
What is the tangential cipher used for illegal weapon trade?
The problem file is the same as "what browser do I use".
전 세계가 코로나19에 처해있는 동안 암시장에서 불법무기거래를 발견하여 용의자의 PC를 압수했습니다.
불법무기거래에 사용되는 암호는 무엇입니까?
동봉된 텍스트파일을 열어보니
제공된 파일은 Windows의 이미지라는 것을 알 수 있죠?
Evidence.E01~E08까지 하나의 디스크이며
분할된 것으로 보이며 .E01이미지만 열면
다음리스트를 링크하고 있기 때문에
함께 열린답니다.
헛.. .E01파일에 대한 설명을 안했네요..
간단하게 요약하면 인케이스에서 만든 "디스크이미지파일"입니다.
FTK Imager로 열어보겠습니다.
Add Evidence Item...
에비던스 타입을 선택해야하는데
우리가 제공받은 것은 이미지 파일이기 때문에
Image File을 선택합니다.
Evidence.E01의 경로를 선택합니다.
그럼 위 그림과 같이 읽어온 것을 알 수 있습니다.
Basic data partition (1)과 EFI system partition (2)는
디스크의 크기가 커지면 앞에 기본적으로 생성되는 파티션입니다.
+를 누르고 확인해보면 recovery와 관련된 정보가 들어있습니다.
우리는 가장 용량이 큰 Basic data partition (4)를 보겠습니다.
이제 일을 가기 위해 씻어야해서 나머지는 일 끝나구 작성하겠습니다!!
---------------------------------------------------------------------------------------
일 끝나구 왔습니다!! ㅋㅋㅋ
댓글