Dreamhack - lolololologfile

[LEVEL 1 - lolololologfile - forensics]

 

 

 

문제 파일을 다운로드 받고 압축 풀면 Image.E01 파일이 들어있다.

인프런에서 배웠던 거 참고했고 툴은 Autopsy 사용했다.

 

autopsy를 실행시키고 new case 누른 다음 case name은 test1로 했다.

나머진 안 건들고 single-user 확인한 다음, 이후 뜨는 창은 건너뛰고 finish 누른다.

add data source 누르고 가장 위에 있는 generate new host ~ ... 선택 후 disk image or vm file을 선택한다.

path는 문제 파일 다운로드 했던 경로의 Image.E01로 지정해주고 time zone이 asia/seoul인지 확인한다.

그러면 configure ~ ... 창에서 디폴트값 그대로 두고 다음 누르면 data source added ~ ... 창이 뜨고 finish 누르면 된다.

 

 

로드가 되고 나서는 문제에서 플래그가 있는 PDF 파일을 삭제했고 그걸 어떻게 복구하느냐고 했으니까,

바로 Deleted Files 들어가서 All을 눌렀다.

 

그랬더니 아래와 같이 삭제된 파일 중 f0000000.pdf가 보인다.

클릭해서 보면 삭제된 pdf 파일을 볼 수 있다.

 

답이 바로 보여서 삭제파일 복구 안 하고 그냥 직접 썼다.

 

 

 

 

 

플래그를 획득했다!