N0cT1s41

2025.02.14 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -2- NTFS 파일 시스템 파일 복구 -2-이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야infosec-noh.tistory.com 2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 ..

이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼infosec-noh.tistory.com MFT Entry 시작 위치 부터 시작하겠습니다. 이제 다음으로 삭제된 파일인 recovery_file2.jpg을 복구해줄 것이다.1. 삭제된 파일의 MFT Entry 위치 찾기삭제된 파일을 복구하려면, 해당 파일의 MFT Entry를 먼저 찾아야 한다.MFT 엔트리에는 파일의 속성..

1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼저, FTK Imager를 사용하여 이미지 파일을 열고 구조를 확인해보았다.분석 결과, 이미지 내부에 NTFS.Recovery.001이라는 RAW 파일이 포함되어 있음을 확인했다.이 RAW 파일을 추출하여, 직접 분석을 진행하기로 했다. 1.2. NTFS 파티션 및 VBR 확인이미지 파일 내부에 있는 NTFS.Recovery.001을 FTK Imager에서 확인한 결과,"Partition 2"가 NTFS로 포맷된 것을 확인할 수 있었다.하지만 HxD를 통해 확인했을 때, MBR과 VBR이 잘 보이지 않..

해당 문제는 Dreamhack의 FFFFAAAATTT 문제에 대한 풀이입니다.설치된 문제 파일: 문제를 설치하니 FFFFFFAAAATTT.001 파일이 생성되었습니다. .001 확장자는 RAW 데이터로, 손실 압축 없이 원본 데이터를 저장하는 파일 포맷입니다.FTK Imager로 확인: FTK Imager를 통해 열어본 결과, 파일이 정상적으로 인식되지 않는 것을 알 수 있었습니다. HxD로 확인: HxD로 해당 파일을 열어보니 MBR(Master Boot Record) 영역이 Fix the Disk!!!!로 덮여 있음을 확인했습니다.MBR이란?MBR(Master Boot Record)은 하드 디스크나 USB와 같은 저장 매체의 가장 첫 번째 섹터(512바이트)에 저장된 데이터 구조로, 부팅 프로세스를 ..

해당 문제는 root me의 Capture this 문제에 대한 풀이입니다.challenge를 다운받고 압축을 풀어보니 Capture.png와 Database.kdbx 파일이 있었다. Database.kdbx는 keepass로 열어야 하는 확장자다. keepass로 열어보니 암호가 걸려있었고 그 암호를 찾아야 하는 문제라는 것을 알았다.위 사진은 문제에서 주어진 Capture.png 파일이다. 여기서 일단 난 몇시간 내내 저 Password만 보고 문제를 푸는 줄 알아 삽질을 많이 했다. 그러다 오른쪽에 k로 시작하는 작은 글자를 그제서야 보았고 이 png 파일은 잘린것이구나라고 파악했다. 저 k로 시작하는 것은 keepass고 옆에 패스워드가 있을 것이라는 판단을 했다.그래서 사진을 복구하기 위해 복구..

해당 문제는 root me의 Oh My Grub 문제에 대한 풀이입니다.challenge를 다운받고 압축을 풀어보니 OVA 파일이 있었다.해당 파일을 HxD로 열어보니 .tar로 확장자를 바꿔야하나 생각했다.그래서 확장자를 .tar로 바꾸고 압축을 풀어주니 .OVA와 root-disk001.vmdk 이렇게 나왔다..OVA를 VMware를 통해 열어주려고 시도했다. 여러 경고 문구가 나왔지만 무시하고 진행했더니 아래와 같이 로그인을 해야했다.그래서 해당 리눅스 버전의 로그인을 안하고 들어갈 수 있는 방법을 찾았다.먼저 처음 부팅했을 때 이 화면에서 아래 Options avancees pour Debian GNU/Linux로 가준다.후에 Debin GNU/Linux, with Linux 3.16.0-6-58..