[ctf-d] 제 드라이브에 catz 사진이 몇 장 있습니다!
1팀 김나연
FTK Imager로 열어보니 cat과 관련된 파일들이 있는 걸 볼 수 있지만
FTK Imager에서는 볼 수 없었다.
삭제했는데 그 곳에 있었다. 그래서 다시 삭제되도록 예방 조치를 뒀다.
하였으니 뭔가 리눅스 복구 툴을 써야할 거 같다.
catz.img 파일의 유형을 확인하니 ext4 파일시스템 형식이었다.
'리눅스 ext4 삭제된 데이터 복구' 로 검색하니
testdisk, extundelete와 같은 명령어가 나왔다.
(testdisk명령어는 kali에서 실행이 안 되었다...왜지?)
[참고] rm 명령어로 지운 파일을 복구하기
(TUI) debugfs CMD -> ext2, ext3
(TUI) extundelete CMD -> ext3, ext4
(GUI) TestDisk 툴 -> ext3/ext4, FAT32/NTFS
출처: https://htst.tistory.com/?page=20 [DrakeOh:티스토리]
Extundelete Tool report
1. Frensics Tools List ■ extundelete 삭제한 파일 복구하기(extundelete) ■ Package Description extundelete는 ext3 또는 ext4 파티션에서 삭제 된 파일을 복구 할 수있는 유틸리티입니다. ext3 및 ext4 파일..
hyess.tistory.com
일단 sudo apt-get install extundelete
명령어로 extundelete를 설치했다.
그리고 파티션 복구하는 명령어
extundelete 파티션명 --restore-all 을 입력하니까
해당 디렉토리에
RECOVERED_FILES 디렉토리가 생성되었다.
RECOVERED_FILES 디렉토리로 이동하니
file.17 파일이 있었고
이게 삭제되었다가 복구된 파일인지 싶어
cat 명령어를 사용해 해당 파일의 내용을 확인했다.
바로 flag값이 나오는 것을 볼 수 있었다!!!!
flag{fugly_cats_need_luv_2}