R136A1
[ctf-d] 저희는 디스크 이미지를 찾았습니다. :: else (carving) / Disk 본문
파일시스템은 필요 없다고 했지만, 기본적인 정보를 알기 위해 file로 파악해본다.
리눅스 EXT2 파일시스템이라고 한다.
FTK Imager로 열어보면 깨진다.
binwalk로는 추출되지 않는다
대신 foremost로 추출할 수 있다.
두 파일은 fake flag이고, 한 파일만 real flag다.
Flag_gooselings_cant_drive
툴에 의존하는 풀이를 피하고 싶다면 직접 Carving도 물론 가능하다.
(알고 있는 툴이 binwalk밖에 없을 때 결과를 저렇게 출력하면 ①다른 툴을 찾아보거나 ②직접 카빙하는 방법이 있다)
본격적으로 해당 문제를 분석하고 싶다면 EXT2 파일 시스템 구조를 좀 더 상세하게 알아보면 좋을 듯 하다.
간단하게만 살펴보면 EXT2 파일 시스템 구조는 위와 같은 구조로 되어있는데
현재 HxD에서 분석해봤을 때 아래 제외, 대부분의 영역이 비어있고 DATA 영역만 남아있는 것 같다.
비어있는 구간을 영역을 구분선으로 하여 블록을 나눠보면...
두번째와 세번째 영역에서 JPEG 파일 시그니처가 대놓고 보여서, 일단 카빙해봐야겠다는 생각이 충분히 들 수 있다
특히 두번째 영역은 JPEG 파일 시그니처가 두 개 존재한다
이런 식으로 추출하면 위의 세 이미지가 차례대로 나온다
'FORENSIC > ctf-d' 카테고리의 다른 글
[ctf-d] fore1-hit-the-core :: Disk (strings) (0) | 2022.02.16 |
---|---|
[ctf-d] Tommy는 프로그램을 작성했습니다. :: Disk (strings) (0) | 2022.02.16 |
[ctf-d] 플래그를 얻어라! :: steganography (0) | 2022.01.25 |
[ctf-d] google :: else (PIL) (0) | 2022.01.25 |
[ctf-d] Emma Watson :: else (PIL) (0) | 2022.01.19 |
Comments