N0cT1s41

해당 문제는 root me의 Deleted file문제에 대한 풀이입니다.해당 challenge 파일을 다운로드 해보면 아래와 같은 .gz의 압축파일을 다운 받을 수 있다.해당 압축파일을 바로 hxd로 확인해 보았지만 의미있는것은 찾지 못했다.압축파일을 풀었는데 예상한것과는 다른 것이 풀어졌다.위 알집을 통해 풀려고 했을 때는 ch39라는 파일이 나올 것 같았지만 윈도우로 압축을 푸니 usb.image 파일이 생성되었다.뭐 일단 image 파일이 나왔으니 FTK Imager로 분석을 해보아야한다.root 폴더가 있는것이 확인됐다. 확인해보니 아래와 같이 anonyme.png라는 사진이 있었다.해당 사진을 상단 view files in plain text 아이콘을 눌러 텍스트로 바꿔주면 flag를 찾을 수..

해당 포스트는 Start up 디스크 포렌식의 FAT32 파티션을 복구하는 내용의 실습입니다.해당 실습 파일을 FTK Imager를 통해 내용을 확인해보자.그럼 Unallocated Space 로 나와 파티션이 손상된 것을 볼 수 있다.이제 손상된 파티션을 복구하기 위해서는 Hxd가 필요하다.Hxd를 통해 해당 파티션을 열어주자불러온 파티션을 조금 분석하자면해당 파티션은 0x80으로 부팅이 가능한 파티션이다.또한 0x0B로 FAT32의 파일시스템인 파티션이고 테이블의 시작주소는 [3F 00 00 00]인것을 알 수 있다.해당 시작주소를 10진수로 변환하면 63이 나온다. 섹터를 63으로 이동하면 아래와 같이 깨진 것을 볼 수 있다.FAT32는 BR 백업본을 시작주소에 6번째에 가지고 있다.시작주소인 63..