suninatas - 포렌식 32번 Terrorist 문제풀이

http://suninatas.com/ 워게임 사이트의 포렌식문제입니다.

경찰청으로 부터 연쇄 테러 용의자로 부터 압수한 USB 이미지 분석을 의뢰 받았다.

최초 분석을 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러 보다 실수로 특정 부분이 손상되고 이미지가 인식되지 않는다.

당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.

1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)

2. 다음 테러 장소는?

문제에는 USB_Image라는 덤프파일이 있습니다.

먼저 ftk imager로 열어보려고 하니 인식이 제대로 되지않아서 열수가없습니다.

덤프파일의 파티션상태가 이상하게 손상되어있는걸 확인할수있습니다. 손상되어 ftk imager로도 열수없는거 같은데 우선 어떤 파일시스템인지 찾아보았습니다.

6번 섹터에 찾아가니 VBR백업본이 묘한 위치에 있는것을 보고 FAT32 파일시스템이란걸 알았습니다.

 이 문제의 덤프파일에서 시그니처 0x55AA를 모두 찾아서 확인해보면 일정하게 밀려있는것을 알수있는데 시그니처를 바로 맞춰보았습니다.

중간에 NULL값(0x00)을 D7길이 만큼 넣어보니 아래쪽의 VBR백업본의 시그니처도 알맞게 맞춰졌습니다.

이제 수정한걸 저장해보고 ftk imager로 한번열어보겠습니다.

이번에는 제대로 확인해볼수있습니다. 문제에서는 다음 테러 계획이 들어있는 문서의 수정 일시를 물어봤는데 2016.05.30입니다.

이제 문제의 파일을 카빙하여 내용물을 확인해보겠습니다.

파일안을 보면 계획을 알수있는데 문제는 테러 장소를 물어봤기 떄문에 Rose Park가 목적 장소인걸 알수있었습니다.