[Fornesic] lolololologfile

문제 이름: lolololologfile

난이도: 1 

 

문제를 다운하면 Image.E01로 주어진다.

문제

 

FKT Imager로 열어보면 

$BOOT에서 NTFS와 $MFT를 확인할 수 있다. 

즉, NTFS를 확인 가능하다.

또한 삭제 된 seg1 ~ 4까지를 확인 가능하지만, FTK Imager에서는 삭제 파일 복구 기능을 지원 안 한다.

그래서 unallocated space(할당되지 않은 공간)으로 이동하였다. 

 

* NTFS 추가설명

NTFS에서 파일 삭제 시 

1. 해당 파일의 MFT 항목에서 in use 플래그가 0으로 설정(파일이 더 이상 사용되지 않음을 표시)

단, 유효하지 않다고 표시이지 MTF 자체는 삭제되지 않음

2. 삭제된 파일이 사용하고 있던 클러스터(디스크 공간)는 unallocated space(할당되지 않은 공간)로 표시 

 

= 파일이 삭제되어도, 실제 데이터는 디스크에 그대로 남아 있으며, 단지 그 데이터가 있는 클러스터가 unallocated space(할당되지 않은 공간)로 표시된다.

 

그래서 파일을 살펴보던 중 PDF 시그니처를 확인하였다. 

푸터 또한 찾아내고 그 사이 파일들을 덤프했다.

파일 4개를 가져와서 HxD를 이용해 파일들을 연결시켜준다.

도구 - 파일 도구 - 연결를 하고 파일들을 넣어주고 만들어주면,

 

flag 획득 가능