[ctf-d] 저희는 디스크 이미지를 찾았습니다. :: else (carving) / Disk

파일시스템은 필요 없다고 했지만, 기본적인 정보를 알기 위해 file로 파악해본다.

리눅스 EXT2 파일시스템이라고 한다.

 

FTK Imager로 열어보면 깨진다.

 

binwalk로는 추출되지 않는다

대신 foremost로 추출할 수 있다.

두 파일은 fake flag이고, 한 파일만 real flag다.

Flag_gooselings_cant_drive

---

툴에 의존하는 풀이를 피하고 싶다면 직접 Carving도 물론 가능하다.

(알고 있는 툴이 binwalk밖에 없을 때 결과를 저렇게 출력하면 ①다른 툴을 찾아보거나 ②직접 카빙하는 방법이 있다)

 

본격적으로 해당 문제를 분석하고 싶다면 EXT2 파일 시스템 구조를 좀 더 상세하게 알아보면 좋을 듯 하다.

간단하게만 살펴보면 EXT2 파일 시스템 구조는 위와 같은 구조로 되어있는데
현재 HxD에서 분석해봤을 때 아래 제외, 대부분의 영역이 비어있고 DATA 영역만 남아있는 것 같다.

/mnt/tmp 등의... 어떤 정보인지 아직 잘 모르겠다.

 

비어있는 구간을 영역을 구분선으로 하여 블록을 나눠보면...

첫번째 영역

구분...

두번째 영역

구분...

세번째 영역

 

두번째와 세번째 영역에서 JPEG 파일 시그니처가 대놓고 보여서, 일단 카빙해봐야겠다는 생각이 충분히 들 수 있다

특히 두번째 영역은 JPEG 파일 시그니처가 두 개 존재한다

이런 식으로 추출하면 위의 세 이미지가 차례대로 나온다