[CTF-D_Disk] 저희는 디스크 이미지를 찾았습니다.

문제링크 : http://ctf-d.com/challenges

[DigitalForensic] with CTF

 

시나리오 : 저희는 디스크 이미지를 찾았습니다. 파일시스템이 손상된 것처럼 보입니다. 당신은 이걸 볼 수 있습니까?

 

Hint :우리가 가는 곳에는 파일시스템이 필요 없습니다.

 

 

이번 파일은 디스크 이미지 파일이라고 합니다. 디스크 이미지를 분석하는 툴은 FTK Image가 있으니 이미지를 불러와봅시다.

 

 

FTK Image로 열어보니 정상적인 디스크 이미지 파일이 아닌것같습니다. 파일시스템이 손상되고, 부팅이되는 디스크 이미지가 아닌것 같아 혹시 MBR이 손상된 것이 아닌가 의심했습니다. 그래서 HXD로 열고, 0번 섹터인 MBR을 보려고 하니

 

(HxD에서 디스크 이미지를 섹터별로 보기 위해서는 [도구] - [디스크 이미지 열기]를 클릭해서 열어야합니다.)

 

 

원래 MBR 정보가 들어가있어야할 0번 섹터에 0으로만 채워져있습니다. Hint에서 말해준것 처럼 파일시스템과 관련있는것 같아 보이지는 않습니다.

 

일단 무작정 어떻게 생겼나 쫙쫙 내려보다가 맨 마지막에 있는 정보를 봤는데

 

 

 

 

FF D9를 발견했습니다! FF D9는 .jpeg 파일의 Footer Signature 입니다. 아마도 디스크 이미지 파일을 가장한 스테가노그래피 문제인것 같네요.

 

그럼 이제 파일의 .jpeg 파일의 시작점을 찾기 위해 .jpeg 파일의 Header Signature 인 FF D8 FF E0 를 검색해서 찾아봅시다.

 

 

 

검색해보니까 총 4개의 결과가 나오네요. 이미지가 여러개 겹쳐있는게 아닌가 의심이 들지만 우선 첫번째 결과 위에 있는 데이터를 모두 날리고 .jpeg 형식으로 저장해보겠습니다.

 

 

표시된 부분 윗쪽을 모두 Delete 눌러서 날려버립시다.

 

날리고 나서 .jpeg 파일로 저장을 하니 이런 사진이 나왔습니다! 

 

뭔가 사진이 더 숨겨져 있는 것 같지만 일단 플래그처럼 생겼으니 한번 정답으로 넣어봤는데..

 

그냥 저게 정답이었습니다..ㅎ

 

 

=======================================================================

 

 

=> Flag_gooselings_cant_drive