Suninatas 39
문제는 위와 같다. 문제를 읽었을 때 먼저 생각한 것은 다음 부분이다.
.... 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러보다 실수로 특정 부분이 손상되고 이미지가 인식되지 않는다.
-> HexEditor로 직접 바이너리값을 건드려 오류가 났다면 다음 방법으로 복구할 수 있다.
1. WinHex와 같은 툴을 이용하여 데이터를 직접 카빙한다. -> 1기가에 다르는 USB이미지이므로 너무 오래 걸린다.
2. FTK등과 같은 툴로 이미지 인식이 가능한지 확인해 본다. -> 문제에서 제시된 이미지는 인식이 불가능 하였다.
3. 직접 HexEditor를 이용하여 USB이미지의 훼손된 부분을 복구한다.
이 문제의 경우 3번 방법을 이용하였다. FTK에도 인식이 되지 않는다는 것은 Boot Record가 훼손 되었을 가능성이 큰 것이다.
Boot Record는 디스크의 첫 섹터에 존재하며 512바이트의 자리를 차지한다.
< Boot Rcord 구성 >
참고 : http://forensic-proof.com/archives/435
Boot Record의 설명은 생략하고 먼저 문제에서 제시된 USB이미지를 HexEditor로 열어보면 다음과 같다.
< USB Image >
일반적으로 각 섹터는 512Bytes로 구성되어 있다. 위 그림에서 보면 첫 시작부가 eX.MSDOS5.0... 으로 시작된다.
보통 fat 계열에서 나타날 수 있는 내용이다. 그리고 나서 보면 블록지정한 부분이 있을 것이다.
이 중에서 앞에 두자리, 55 AA는 Boot Record의 마지막을 나타내는 시그니쳐이다.
위에서도 말했지만 Boot Record는 512Bytes를 차지하는데 이 값은 16진수로 512바이트이다.
55 AA이후에 나오는 4자리 RRaA는 FAT계열에서 나오는 File System INFOrmation의 시그니쳐이다.
참고 : http://forensic-proof.com/archives/372
따라서 55 AA를 1FF(16)위치에 맞추어 주면 된다. 비교를 하기 위해서 보유하고 있던 일반 USB를 FAT32로 포맷을 하고
디스크를 읽어 보았다.
< 일반 USB의 FAT32 포맷시 BR >
정확히 1FF에 55 AA, 200에 52 52 61 41이 저장되어 있다.
이제 각 시그니쳐의 위치에 맞게 Hex Editor를 이용하여 값을 변경하면 된다.
< BR 시그니쳐 위치 조정 >
이제 FTK Imager로 수정한 USB 이미지를 열어주면 아래와 같이 파일 목록이 나타난다.
그 중에서 "2차 테러 계획.hwp" 라는 파일의 목록을 볼 수 있다. 이 파일의 수정시간과 내부 데이터를 읽어주면 된다.
< "2차 테러 계획.hwp" 수정시간 >
< "2차 테러 계획" 장소 >
문제에서 제시된 시간은 UTC+9 이었으므로 시간은 2016-05-30_11:44:02가 되고 장소는 위에 적혀있듯이 Rose Park가 된다.
Answer : lower case(MD5("2016-05-30_11:44:02_Rose Park"))