keyword : R-Studio 카빙, Logical File Hash
이 문제는 출제 당시에 논란이 있었던 문제이다. 500점인데 비해, R-Studio로 카빙을 하면 답을 바로 얻을 수 있는 문제이기 때문이다.
[ FTK Imager ]
위 사진은 FTK Imager로 열었을 때의 모습이다. 6번째 Recovered Partitiond 있는데 Root 하위를 보면 특별한 파일이 생성된 것을 볼 수 없다. folder3하위에 사진 한장이 지워져 있긴 하나 특별한 사진은 아니다.
[ R-Studio ]
위 사진은 R-Studio를 이용한 화면인데 6번 파티션에서 k3y2013.JPG파일을 바로 복구할 수 있는 것을 볼 수 있다. 이 사진을 열어보면
[ k3y2013.JPG ]
지문에 나온 key 사진이다. 이 사진을 복구해서 md5 해쉬값을 답으로 제출하면 된다. (R-Studio Demo버전에서는 256kb까지밖에 복구가 되지 않는다...)
이 문제의 출제 의도인 Logical File Hash는 http://forensicinsight.org/wp-content/uploads/2013/03/F-INSIGHT-CodeGate-2013-Write-ups.pdf 에 잘 설명이 되어 있다.
(추후 다시 풀어보아야 함.)
Answer : 597eb84759c836cf9889e07770ffacf7
'CTF | wargame' 카테고리의 다른 글
| codegate 2013 - forensic 200 (torrent 분석, bencode editor, 증거물 찾기) (0) | 2017.03.29 |
|---|---|
| codegate 2013 - forensic 300 (docx 분석) (0) | 2017.03.29 |
| codegate 2011 - forensic 100 (카빙, foremost) (0) | 2017.03.29 |
| volgactf 2017 / nested (USB 패킷 분석, 복구, jpg, gz 스테가노그래피 - outguess, gzsteg) (0) | 2017.03.29 |
| insomnihack 2017 - The Great Escape part 1 - Forensics (와이어샤크 ssl 키 적용 분석) (0) | 2017.03.29 |