플래그가 있는 PDF 파일을 복구하는 문제이다.
일단 문제 파일을 다운받았는데, E01 파일이었다. 디스크 이미징할 때 많이 본 확장자라서 FTK Imager에 파일을 열어주었다.
열어보니 파일 내의 unallocated space 폴더에 7개의 파일이 들어있었다.
7개 파일 중 3개의 파일에는 아무런 정보가 담겨있지 않아서 4개 파일만 추출해주었다.
HxD를 이용해 파일들의 정보를 확인했는데, 02067 파일에 pdf 헤더 시그니처가 있었다.
pdf는 EOF.(End Of File)로 끝나는 특징이 있는데, 02067 파일에서는 헤더 시그니처만 있고 EOF는 발견할 수 없었다.
다른 파일을 찾아보니 05082 파일의 끝부분이 EOF였다.
이를 통해 하나의 pdf 파일이 여러 파일로 분할되어 있다는 것을 알 수 있었고, 이 파일들을 합치면 pdf 파일이 나올 것이라고 생각했다.
02067 파일과 05082 파일을 각각 앞/뒤에 놓고, 네 파일을 연결해 하나의 파일로 저장해주었다.
확장자를 pdf로 바꿔주고 합친 파일을 열어보면 아래와 같이 플래그가 써있는 이미지가 나온다.
'Wargame > Forensics' 카테고리의 다른 글
| [xcz.kr] Prob 13 - Network Recovery (0) | 2024.05.18 |
|---|---|
| [Dreamhack] Forensics - Enc-JPG (0) | 2024.03.08 |
| [xcz.kr] PROB 1번 - End Of Image (0) | 2023.11.04 |
| [써니나타스] Forensics 포렌식 18번 문제 풀이 (0) | 2023.09.23 |