Disk Forensic
-
2020 NEWSECU CTF write up$ Capture The Flag $ 2020. 2. 23. 12:51
File Forensic Disk 문제 파일을 압축 풀어보면 아래와 같이 newsecu 라는 파일이 하나 나옵니다. 파일의 hex값을 확인해보면 아래와 같습니다. 알 수 없는 값을 띄고 있지만, 비밀번호를 같이 준것으로 보아 TrueCrypt로 암호화 했을 가능성이 있습니다. TrueCrypt를 이용해서 mount를 해보겠습니다. mount가 완료 되었고 디스크 안에 있는 파일을 확인해 보겠습니다. 50.0MB 짜리 가상 하드디스크 인 vhd 파일이 존재합니다. 하지만 마운트를 하기 위해서 Arsenal Image Mounter를 이용했지만 아래와 같은 창이 출력 됩니다. 데이터가 손상된 것 으로 확인이 됩니다. hex값을 확인해 보면 PASSWORD RECOVERY 라는 문자열을 확인 할 수 있습니다...