'0x20 Forensics' 카테고리의 글 목록

0x20 Forensics

2022. 5. 17. 16:57

파일을 다운로드 받은 후, 이 파일에 대하여 살펴보면 Fix the Disk!!!!라는 메시지와 함께 MBR이 손상된 것을 확인할 수 있다.

MBR은 중요한 섹터이기에 백업 섹터가 존재하는데 그 위치가 0x00000C00이다. 해당 영역으로 가면 아래와 같이 MBR이 백업되어 있는 것을 확인할 수 있다.

그렇기에 이 섹터를 복사하여 0번째 섹터에 복구하면, 해당 파일을 파일시스템으로 열 수 있다.

그 후 FTK Imager 도구를 이용하여 이 파일시스템을 돌아다녀 보면, 위와 같은 압축파일을 찾을 수 있다. 하지만 이 압축파일은 비밀번호가 걸려 있으며, 이 비밀번호는 GG.PNG 파일에서 확인할 수 있다.

여기서 찾은 비밀번호를 이용하여, 압축파일을 해제하고 FINISH_FIX.txt를 열어보면 플래그를 확인할 수 있다.

HackThisSite.org :: Forensic 1 (1)	2019.09.17

2019. 9. 17. 02:22

stacy 는 전 직원이 자신의 thumb drive 에서 파일들을 지웠다고 생각하고 있습니다.

대부분의 파일들은 대체가 가능하지만, 비밀번호를 저장하고 있는 파일은 필요하다고 합니다.

그래서 stacy 는 drive 를 덤프하여 image를 생성했고, 이 image 에서 비밀번호를 저장한 파일의 복구를 의뢰하였습니다.

원본 파일과 다운로드된 파일이 동일한 파일임을 확인하기 위해, 지문에서 제공한 md5checksum 값과 동일한지 확인합니다.

압축 파일이 손상없이 다운로드 되었으므로 압축을 풀고, image 파일을 마운트하여 삭제된 파일들이 확인 가능한지 확인해 봅니다.

마운트 해보면 stacy 라는 디스크 이름으로 몇개의 폴더들을 확인할 수 있지만, 그 폴더 하위의 파일들은 확인할 수 없습니다.

따라서 winhex 도구를 이용하여 파일들을 복구해 봅니다. 

복구한 파일들을 일부 확인해 보면, .Trash-1000 폴더 즉 쓰레기통에서 여러 삭제된 파일들이 복구된 것을 확인할 수 있습니다.

그 중 비밀번호와 관련이 있어 보이는 Your new password is.rar 의 압축을 풀어봅니다. 

하지만 해당 파일에는 비밀번호가 걸려있고, 이에 대한 비밀번호를 찾아야 합니다.

[*] 복구된 파일들을 살펴 보면, 힌트로 사용할 수 있는 음성 파일을 찾을 수 있습니다. (이거 너무 게싱,,,) 

Voicemail 1.wav 를 들어보면 다음과 같은 내용을 포함하고 있습니다.

...
I sent you a new key over to you.
Use your phone number to access file
...

"새로운 키를 보냈는데, 이 파일은 핸드폰 번호로 열어볼 수 있습니다.”

stacy의 핸드폰 번호는 Termination - Allen Smith.docx 라는 제목의 문서에서 확인할 수 있습니다.

위에서 찾은 핸드폰 번호를 이용하여 압축파일을 해제하면, 위와 같은 새로운 비밀번호 확인할 수 있습니다.

Dreamhack :: FFFFAAAATTT (0)	2022.05.17

PREV 1 NEXT