확장자 .001은 Split Archive File(분할 아카이브)파일이므로 FTK imager로 먼저 열어본다.
*디스크 이미지 파일
001 파일은 압축을 해제하는 방법도 있지만 보통은 FTK Imager와 같은 전용 소프트웨어로 살펴본 뒤에 압축을 해제한다고 한다.
문제 설명이 FIXFIXFIX! FFFAAATTT! 이던 이유가 있다. 파일 헤더 시그니쳐가 없고 아래 바이트가 모두 날아가있다.
헥사 값을 편집해주기 위해 HxD 프로그램으로 해당 파일을 다시 열어주었다.
HxD 프로그램으로 디스크 이미지 파일을 열면 섹터로 분할되어 있는데, 처음 이 문제를 풀었던 당시에는 드래그 앤 드롭으로 파일을 열어 한참을 헤매었다.
섹터 6 쯤으로 가면 파일 헤더 시그니처...인 줄 알았는데 헤더 시그니처는 아니고 디스크 에러라고 뜨는 유의미한 값인 것 같다. 보통 이런 유형의 문제는 맨 앞에 헤더 시그니처를 덮어씌워 고치는데 이번엔 헤더 시그니처가 안 보이는 것 같으니 6섹터에 있는 모든 값을 0섹터로 덮어쓰기 해보았다.
저장한 다음 FTK Imager로 다시 실행해주면,
[root] > Dreamhack > noway!.zip > noway! 안에 _flag.txt 파일이 있다.
noway!.zip 파일을 export 해주고,
풀려고 하면...
암호가 걸려있다. 응...? ㅜ
작전상 후퇴한 뒤, dreamhack 폴더를 다시 유심히 살펴보았다.
GG.PNG 파일만 열리지 않는 모습.
dreamhack 디렉토리 전체를 export 한 뒤, GG.PNG 파일을 HxD로 열어보았다.
역시나! 이래서 사람은 flag만 보고 직진하면 안 된다.... 압축 해제 비밀번호도 알아냈으니 다시 noway!.zip의 압축을 해제해보면
짠, 플래그 값이 나온다. ...근데 EASY FAT32 REBUILD?...........??? 풀고 나니 쉬운 건 맞는데... 음...공부가 더 필요할 것 같다.
'Digital Forensic > Dreamhack' 카테고리의 다른 글
| [DH][워게임] palm (0) | 2023.11.06 |
|---|---|
| [DH][워게임] Snowing! - HxD (0) | 2023.11.06 |
| [DH][워게임] sleepingshark - WireShark, Python (0) | 2023.10.31 |
| [DH][워게임] Basic_Forensics_1 - HxD, StegoSlove (0) | 2023.10.31 |
| [DH][워게임] Windows Search - WinSearchDBAnalyzer.exe (0) | 2023.10.31 |