[Forensic] Level 32 [180pt]

 

문제 파일을 다운 받아 보겠습니다.

 

파일이 손상 되서 마운트가 안된다고 하니까 Hex값을 확인해 보겠습니다.

 

FAT32 파일 시스템으로 되어 있는 것 같습니다. 

그렇다면 한번 각각의 포맷과 일치 하는지 확인해 봐야 할것 같습니다.

 

EB 58 90 4D ~~ 인것으로 보아 부트 레코드 부분이 시작되는 것 같습니다.

 

 

위의 항목과 Hex 값을 비교할때 

 

부트 레코드가 손상 되었는지 아닌지를 알기위한 시그니처의 위치가 좀 앞당겨 졌습니다. 

올바른 값에 넣어 주기 위해서 중간의 00 의 널 부분에 추가를 해주겠습니다.

 

1FE - 126 = D8 만큼 널을 넣어주면 됩니다.

 

그리고 마운트를 해보겠습니다.

 

 

마운트 성공 입니다.!

 

이제 문제를 확인해 보면 다음과 같습니다.

 

다음 테러 계획이 들어있는 문서의 수정 일시는 ? 

다음 테러 장소는?

 

 

일단 문서를 찾아 보겠습니다.

바로 2차 테러  계획.hwp 파일이 있습니다.

 

 

테러 장소는 Rose Park 입니다. 

 

수정 시각은 다음과 같습니다.

 

2016-05-30_11:44:02입니다.

 

이어서 md5값을 생성하겠습니다.

 

 

md5(2016-05-30_11:44:02_Rose Park)

 

 

그리고 lowercase(8CE84F2F0568E3C70665167D44E53C2A) 를 하면 Clear!

 

Authkey : 8ce84f2f0568e3c70665167d44e53c2a