[ctf-d] 저희는 디스크 이미지를 찾았습니다.

1팀 김나연

 

제공된 파일을 ftk imager로 열어봤는데

Unrecognized file system이라고 한다.

 

MBR복구 문제인가 싶었는데

hint에서 파일 시스템과 관련이 없다고 하니..

 

 

hxd로 일단 열어봤다.

jeif, jpeg 같은 단어도 보이고

마지막 푸터 시그니처가 jpeg, jeif의 푸터 시그니처 ff d9라는 점을 봐서

이미지 파일로 위장했지만 안에 파일들이 들어있는 거 같다.

 

파일 카빙을 해보자.

파일 카빙( File Carving )

matadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, ... )를 이용해 디스크의 비활당 영역에서 파일을 복구하는 방식을 파일 카빙이라고 합니다.

 

* 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 합니다.

 

쉽게 이야기 해서 바이너리 데이터에서 정보 획득 후 할당 되지 않은 영역에서 파일을 복구를 이야기 합니다.

 

연속적인 카빙과 비연속 적인 카빙에 대한 차이는 파일이 저장될 때 분할이 되서 저장 되는가 아닌가에 차이를 둔다.

 

또한 파일 카빙은 시그니처 기반 카빙, 램 슬랙 카빙, 파일 구조체 카빙, 파일 크기 획득 방법 기반의 카빙, 파일 구조 검증 방법 기반의 카빙 등이 있습니다.

 

 

 

리눅스 foremost명령은

데이터 구조를 기반으로 손실된 파일을 복구하기 위한 카빙 프로그램이다.

 

foremost 명령어 결과

 

결과 3개의 jpg파일이 나왔다. 

 

jpg 파일을 열어봤다.

이게 flag값인가보다

정답

 

출처:

https://whitesnake1004.tistory.com/248

https://hyess.tistory.com/314