N0cT1s41

해당 문제는 Dreamhack의 Enc-JPG 문제에 대한 풀이입니다.문제에서 주어진 ZIP 파일을 열어보니 Enc와 flag.jpg 파일이 존재했다. 해당 파일들을 각각 010 editor를 통해 열어보았다.처음 받은 enc 파일을 확인해보니, 파일의 시그니처가 4D 5A 90로 시작하는 것을 확인했습니다. 이는 .exe의 파일 시그니처로, 해당 파일이 실행 파일임을 나타냅니다. 따라서 .enc 확장자를 .exe로 변경한 후 실행해 보았습니다.실행을 시켜보니 flag.jpg라는 파일이 생성되었으며, 일부 데이터가 복구된 것을 확인할 수 있었습니다. 그러나 파일이 정상적으로 열리지 않았습니다. 이를 해결하기 위해 바이너리 에디터인 010 Editor를 사용하여 내부 구조를 분석하기로 했습니다.JPEG 파..

2025.02.14 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -2- NTFS 파일 시스템 파일 복구 -2-이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야infosec-noh.tistory.com 2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 ..

이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼infosec-noh.tistory.com MFT Entry 시작 위치 부터 시작하겠습니다. 이제 다음으로 삭제된 파일인 recovery_file2.jpg을 복구해줄 것이다.1. 삭제된 파일의 MFT Entry 위치 찾기삭제된 파일을 복구하려면, 해당 파일의 MFT Entry를 먼저 찾아야 한다.MFT 엔트리에는 파일의 속성..

1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼저, FTK Imager를 사용하여 이미지 파일을 열고 구조를 확인해보았다.분석 결과, 이미지 내부에 NTFS.Recovery.001이라는 RAW 파일이 포함되어 있음을 확인했다.이 RAW 파일을 추출하여, 직접 분석을 진행하기로 했다. 1.2. NTFS 파티션 및 VBR 확인이미지 파일 내부에 있는 NTFS.Recovery.001을 FTK Imager에서 확인한 결과,"Partition 2"가 NTFS로 포맷된 것을 확인할 수 있었다.하지만 HxD를 통해 확인했을 때, MBR과 VBR이 잘 보이지 않..

1. NTFS 파일 삭제 원리NTFS에서 파일이 삭제될 때, 데이터가 즉시 제거되는 것이 아니라 파일이 위치했던 MFT($MFT, Master File Table) 엔트리가 "사용 가능" 상태로 변경되고, 해당 파일이 저장된 클러스터가 새로운 데이터로 덮어쓰기될 수 있도록 예약된다. 즉  파일의 메타정보만 삭제하고 실제 데이터는 남아있게 된다. 그렇기에 파일을 삭제하여 메타정보가 지워 지더라도 실제 데이터가 남아 있으므로 삭제된 이후 파일을 복구할 수 있게 된다.1.1 파일 삭제 과정MFT 엔트리 수정: 파일의 MFT 엔트리가 삭제됨으로 표시되지만 데이터는 여전히 디스크에 존재한다.디렉토리 인덱스 업데이트: 파일이 속해 있던 디렉토리의 인덱스에서 해당 파일 정보가 제거된다.클러스터 할당 해제: 파일이 저..

1. VBR이란?VBR(Volume Boot Record)은 부팅 가능한 파티션(볼륨)의 첫 번째 섹터에 존재하는 영역으로, Boot Sector, 볼륨 크기, FAT 위치, $MFT 위치 등 볼륨과 관련된 다양한 정보를 포함하고 있다.VBR이 손상되면 볼륨의 정상적인 인식이 불가능하며, 의도적으로 볼륨의 존재를 숨기기 위해 VBR을 훼손하는 경우도 존재한다. VBR이 손상되었을 경우 Backup VBR을 통해 복구가 가능하며, FAT32의 경우 첫 번째 볼륨에서 6번째 위치에 존재하고, NTFS의 경우 볼륨의 마지막 섹터에 위치한다. 파일 시스템 Backup VBR 위치 FAT32볼륨의 첫 번째 섹터 + 6NTFS볼륨의 마지막 섹터2. NTFS VBR 구조NTFS 파일 시스템의 VBR은 다음과 같은 ..