문제 설명: Someone deleted the PDF file which has flag! How can I recover it?
ftk imager로 문제 파일을 열어줌
파일 중 deleted파일이 있었고
비할당 영역을 확인해주니까 총 7개의 파일이 있음
삭제된 파일이 여기 있을 수도 있음
FTK Imager를 사용한 비할당 영역 분석의 주요 특징은 다음과 같습니다.
삭제된 파일 복구: 비할당 영역은 삭제된 파일의 내용이 남아있을 가능성이 매우 높은 곳으로, FTK Imager를 통해 이 영역에서 데이터를 찾아내고 복구할 수 있습니다.
파일 카빙 (File Carving): 메타데이터(파일 이름, 위치 등)가 파괴된 경우에도 비할당 영역의 바이너리 데이터를 직접 스캔하여 파일의 시그니처(헤더/푸터)를 기반으로 파일을 복원하는 기법을 사용할 수 있습니다.
파일 슬랙(File Slack) 분석: 비할당 영역 외에도, 할당된 클러스터에서 실제 데이터가 차지하는 공간보다 더 많은 공간이 할당된 '파일 슬랙' 부분도 분석하여 중요 데이터를 찾아낼 수 있습니다.
이미징 및 마운트: FTK Imager로 원본 드라이브를 이미지화한 후, 이를 다시 마운트하여 비할당 영역 내의 구조(예: Directory Entry)를 확인하거나 데이터를 추출할 수 있습니다.
정보가 담아있느 파일들만 export해서 hxd에 다 넣어주었음
02067을 보면 pdf 시작 시그니처를 확인할 수 있음
나머지도 시그니처가 있는지 확인해보니 없음...흠
그러면 시그니처 푸터도 확인해봐야겠다
pdf 시작 시그니처는 있는데 푸터 시그니처는 업음ㅎ
짠! 05082파일에 pdf 푸터 시그니처가 있음
두개 합쳐줘야겠다
'SWUFORCE > 워게임' 카테고리의 다른 글
| PNG파일의 구조와 Chunk (0) | 2026.04.28 |
|---|---|
| 워게임 - LineFeed (0) | 2026.04.28 |
| Dreamhack_Don't Do(S) that!(forensic) - 패킷 분석 (0) | 2026.03.31 |
| Dreamhack_Don't Do(S) That!(forensic) (0) | 2026.03.31 |
| 워게임 - FFFFAAAATTT (0) | 2026.03.31 |