[FileSystem] FILE Record - Fixup Array

 

FILE Record에서 Fixup Array 부분에 대한 문제 인것 같습니다.

 

해당 파일의 hex값을 확인해 보면 아래와 같습니다.

 

key{}의 Flag 형식은 확실하게 눈에 들어 옵니다.

 

MFT Entry Header 의 구조를 확인해 보면 아래와 같습니다.

 

노란색 부분을 유심히 보면 Fixup Array 관련 데이터를 가지고 있습니다.

각각의 데이터가 어떤 의미를 가지는지 아래의 표를 확인해 보겠습니다.

 

Offset to Fixup Array 는 Fixup Array의 시작위치를 의미합니다.

해당 값을 확인해 보면 0x30 이라는 것을 알 수 있고, 해당 값을 확인해 보겠습니다.

 

 

Fixup은 MFT Entry의 데이터 무결성을 판단하기 위해 존재합니다.

MFT Entry는 각  2개의 섹터(1024 byte)를 사용하는데 각 섹터 마지막에 2byte를 이용해서 Fixup Array로 사용합니다.

 

빨간 박스에 있는 hex 값이 Fixup의 Signature 값이기 때문에 이 값들이 1섹터 마다 맨마지막 2바이트에 값이 들어가게 됩니다.

또한 그 값이 들어간 자리에 있던 값은 04 00 옆에 나열 됩니다.

 

그렇기 때문에 키값이 key{sej16gcx} 이거 입니다.

 

파일 명은 아래와 같이 구할 수 있습니다.

 

 

새 텍스트 문서.txt 입니다.

 

Flag : key{sej16gcx}