728x90

풀이

문제파일에는 Image.E01 파일이 첨부되어있다.

 

E01 확장자 :  EnCase 이미지 파일 포맷을 사용하여 생성된 디스크 이미지. EnCase는 Guidance Software에서 개발한 디지털 포렌식 도구로, 법적 증거로 사용될 수 있는 디지털 증거를 수집, 분석 및 보고하는 데 널리 사용.

 

E01 파일 열기

  1. EnCase 사용
    • EnCase 소프트웨어를 실행하고 "File" 메뉴에서 "Add Evidence"를 선택하여 E01 파일을 엽니다.
    • 디스크 이미지가 로드되면, 파일 시스템을 탐색하고 분석할 수 있습니다.
  2. FTK Imager 사용
    • FTK Imager를 실행하고 "File" 메뉴에서 "Add Evidence Item"을 선택합니다.
    • "Image File"을 선택하고 E01 파일을 지정합니다.
    • 로드된 이미지를 탐색하고 필요한 데이터를 추출할 수 있습니다.

 

라고 GPT가 알려주었으니 무료 소프트웨어인 FTK Imager로 열어보자.

알려준대로 이미지 파일을 열었다. 

업로드하니 Evidence Tree 패널에 무언가 뜬다. 또 gpt에 물어보자.

 

Evidence Tree 패널 : 디스크 이미지 파일의 디렉터리 구조와 파일 시스템을 나타냄.

  1. Image.E01
    • 이는 EnCase에서 로드된 디스크 이미지 파일입니다. 파일 확장자가 .E01로 되어 있는 것은 EnCase 이미지 파일 포맷을 사용하고 있음을 나타냅니다.
  2. HUNJISON [NTFS]
    • 이는 E01 이미지 파일 안에 있는 NTFS 파일 시스템을 의미합니다. NTFS는 Windows 운영 체제에서 주로 사용되는 파일 시스템입니다.
    • NTFS 파일 시스템 안에 여러 폴더가 있습니다.
  3. [orphan]
    • 이 폴더는 NTFS 파일 시스템에서 부모 디렉터리를 잃어버린 고아 파일들을 나타냅니다. 일반적으로 삭제되었거나 디렉터리 구조가 손상된 파일들을 포함할 수 있습니다.
    • 삭제된 파일 복구 작업 시 중요한 폴더입니다.
    • 포렌식 분석에서의 활용 : 삭제되거나 부모 디렉터리가 손상된 파일들을 찾고 복구할 수 있습니다.
  4. [root]
    • 이는 NTFS 파일 시스템의 루트 디렉터리입니다. 디스크의 최상위 디렉터리를 나타내며, 여기서부터 모든 디렉터리와 파일이 시작됩니다.
    • 포렌식 분석에서의 활용 : 현재 파일 시스템에서 사용 중인 파일과 디렉터리를 탐색할 수 있습니다.
  5. [unallocated space]
    • 할당되지 않은 공간을 나타냅니다. 이 영역은 현재 파일 시스템에서 사용되지 않는 디스크 공간입니다.
    • 이 공간에는 이전에 삭제된 파일의 데이터가 남아있을 수 있으며, 포렌식 분석을 통해 복구할 수 있습니다.
    • 포렌식 분석에서의 활용 : 할당되지 않은 공간을 스캔하여 삭제된 파일을 복구하거나 숨겨진 데이터를 찾을 수 있습니다.

폴더들을 뒤져보니 unallocated space에 뭔가가 있다. 

파일을 열어보니 Hex들이 보인다. 그런데 헤더 시그니처가 PDF이다. 이게 삭제된 PDF파일인거 같다. 

export file을 한 후 확장자를 변경해서 열어봤는데 안 열린다.. 왤까.. 다시 gpt에게 물어보자. 

gpt가 파일 다른 조각이 있을 수 있다고 알려줬다. 

다른 파일들을 열어보니 05082 파일까지 내용이 있고 그 파일에서 푸터 시그니처도 발견했다. 아무래도 이 네 개의 파일을 합쳐야하나보다. 

010 Editor를 통해서 한땀한땀 Insert File로 합쳐줬다. 그리고 확장자를 바꿔서 열어보았다.

그랬더니 flag가 나왔다!!!

+ Recent posts

티스토리툴바