Dreamhack - FFFFAAAATTT

[LEVEL 1 - FFFFAAAATTT - forensics]

 

 

문제 파일은 드림핵 해당 문제 설명에 나와 있는 링크를 통해 다운로드 받으면 된다.

FFFFAAAATTTT.001 압축된 시스템 이미지 파일이 들어있다.

 

처음에는 언인텐으로 쉽게 풀려고 해봤으나 내 컴퓨터에서는 vscode로 안 열렸다.

그래서 이후 HxD로 .zip 파일 시그니처를 찾아보면서 Local File Header Signature 50 4B 03 04 ~, Central Directory Signature 50 4B 01 02~, End of central directory record Signature 50 4B 05 06~로 각각 4bytes인 걸 알아보았다.

.zip만 따로 추출해서 안에 .txt 파일들을 열어보려고 했으나, 다 암호가 걸려있다.

 

압축 파일 구조에서 Central Directory에서 파일의 암호화 정보를 저장하는 비트를 가지는 Flags 부분이 있다길래 그걸 보고 해당 부분을 08 08로도 바꿔보고 00 00으로도 바꿔보았는데 다 안되고 도중에 생성된 한글파일은 내용이 다 깨져있었다. 이렇게 푸는 게 아닌 것 같아서 인텐으로 푸는 걸로 방향을 바꿨다.

 

문제 이름 및 문제에 달린 댓글들을 참고한 결과, 이 문제는 FAT32 파일시스템 관련 문제이다.

그리고 인텐으로 풀면 부트레코드 공부에 좋다는 댓글도 있었다.

 

그런데 디스크 헤더 복구, 부트레코드, BR 백업 섹터 등 내가 잘 모르는 용어가 댓글에 많길래 일단 이에 대한 공부가 우선이라고 생각했다.

 

 

 

가장 먼저 HxD로 열어보면 위와 같이 섹터 0부분에 Fix the Disk!!!!가 반복해서 나와있는데 이거 때문에 FTK Imager에서 정상 인식이 불가능한 줄은 몰랐다. 포렌식 워게임 풀어보기 시작한지 얼마 되지도 않았고 디스크 헤더 손상된 CTF 문제도 아직 풀어본 적이 없어서다. FTK Imager에서 파일시스템을 인식하지 못할 경우, 대부분 부트레코드의 변조나 손상때문이라고 한다.

 

부트레코드는 디스크 운영 체계를 컴퓨터 시스템에 설치하기 위한 명령어를 저장하고 있는 곳으로서, 컴퓨터를 부팅할 때 제일 처음 읽혀지는 레코드라고 한다. 보통은 첫 번째 트랙의 첫 번째 섹터에 위치한다고 한다(섹터 0).

 

그러면 FAT32는 BR 백업 섹터가 어디에 있을까?

해당 파티션의 시작 주소의 6번째에 BR 백업 데이터가 있다고 한다.

 

 

 

 

 

그래서 위에 드래그한 섹터 6 부분을 복사해서

 

 

 

 

 

위에 드래그한 섹터 0 부분에 붙여넣는다.(원래의 Fix the Disk!!!!를 덮어쓰는 과정)

 

 

 

 

 

이제 FTK Imager에서 정상적으로 인식된다.

root 아래에 Dreamhack 폴더 아래에 있는 사진들을 다 눌러보았는데 GG.PNG만 사진이 안 보인다.

Dreamhack 폴더 우클릭 export files 누르고 추출한 다음에 눌러도 사진을 볼 수 없다.

여전히 FINISH_FIX.txt에 암호도 걸려있다.

 

 

 

 

 

HxD로 GG.PNG를 열어보니 zip key가 DHDHFIX인 것을 알려준다.

 

 

 

 

다시 .zip파일 안의 FINISH_FIX.txt 파일을 눌러 암호로 DHDHFIX를 쳤더니 바로 열린다.

 

 

 

 

 

 

플래그를 획득했다!