Deadbox Forensics
-
[DEFCON DFIR CTF 2019] Deadbox Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:00
Hello, my name is ... 문제를 해석해 보면 E01을 만든 심사관의 이름은? 이라는 문제입니다. Horcrux 폴더를 확인해 보면 다음과 같습니다. 확장자가 E01 ~ E14로 되어 있는 것으로 보아 이미지 파일이 Chain 압축이 된 것으로 생각됩니다. 그렇기 때문에 Horcrux.E01 파일과 Horcrux.E01.txt 파일이 핵심인 것 같습니다. Horcrux.E01.txt에서 E01을 만든 심사관 이름을 찾을 수 있었습니다. Flag : flag Who owns it? 해석을 해보면 해당 머신의 기본 사용자 이름은? 이라고 합니다. FTK Imager을 이용해서 한번 열어보겠습니다. Flag : flag Does it match? 문제를 해석해 보면 증거의 SHA1 해시가 무엇인가..