Plz Recovery 문제

 

CTF 문제

 

첨부된 recovery.vhd파일을 다운로드

 

 

 

더블클릭시 아래와 같은 창이 뜨고 "열기" 클릭

 

 

경고창이 뜬다

 

 

확인을 누르고 내PC를 확인해보니 로컬 디스크(E:)가 생겨났다

 

 

로컬 디스크 (E:) 클릭시 포맷하라는 창이 뜬다

포맷을 진행해주고

 

 

 

 

 

 

다시 로컬 디스크 (E:) 진입 시, 비어있는 디스크라는 것을 알 수 있었다.

 

하지만 디스크의 46.9MB가 사용중인것으로 보아 파일이 있지만 손상된것으로 보인다.

 

 

 

 

VHD파일은??

 

:  .vhd, .vhdx 확장자를 가진 "가상 하드 디스크 이미지 파일"

- "파일의 속성“과 "디스크 속성"을 동시에 가지고 있음

 

VHD파일은?? "파일의 속성"을 가지고 있기에

- 일반 파일처럼.. VHD파일생성, 복사, 이동, 삭제가 가능

​

VHD파일은?? "디스크의 속성"을 가지고 있기에

- 용량 지정, 파티션형식(MBR,GPT)지정 및 파티션분할, 문자열 할당이 가능

- VHD파일내에 여러 파일을 복사, 이동, 삭제가 가능

- 그리고, 윈도우 등 OS설치 및 부팅이 가능

 

즉, 가상의 디스크를 추가할 수 있는 파일이다.

 

 

 

 

Flag 발견 - (방법 1)

 

FTK Imager 로 파일 오픈시

 

unallocationed space 라는 폴더에

즉, 할당되지 않은 공간 폴더에 두개의 파일이 있는것을 알 수 있었다

파일을 클릭하였을때 아무 확인 불가하였다

 

 

 

 

그래서 일단 NTFS에대해 찾아보았고 다음 정보를 알게 되었다

 

1. VBR은 Volume Boot Record이며, 파일시스템의 가장 처음에 위치하고 있다.
2. VBR은 파일시스템의 크기가 몇인지, 몇번부터 파일을 저장하고 있는지에 대한 정보를 가지고 있는 가장 중요한 부분이다.
3. VBR은 매우 중요한 부분이기에 VBR을 복사본을 만들어 둘 필요가 있다.
4. FAT32 파일 시스템의 경우 6번섹터 exFAT 파일 시스템의 경우 12번 섹터 NTFS 파일 시스템의 파티션의 마지막 섹터에 복사본을 만들어 놓는다
5. 즉,VBR이 위치해야 할 0번 섹터에 문제가 있다면, 복사본을 복사하여 덮어써 복구가 가능한 것입니다.

 

 

 

이 과정을 진행하기 위해 HxD 프로그램을 사용하였다

 

 

 

 

 

 

 

 

Flag 발견 - (방법 2)

 

비어있는 디스크지만 

 

이는, 데이터에 손상이 가서 비어있는것이며

 

사라진 파일을 복구하여 Flag 값을 찾아내는 문제라고 판단하였다

 

 

 

 

손상된 파일을 복구시켜주는 포렌식 Tool인 

 

Tenorshare 4DDiG 를 사용하여

 

디스크를 스캔하니

 

E: 로컬디스크에 이름 분실된 파일이 있다는것을 알아냄

 

 

이름 분실된 파일 폴더를 들어가 봄

 

ico와 png 폴더가 존재하였고

 

Flag 값이 png 사진에 있을 것이라 예상하여

 

Png 폴더 들어감

 

아니나다를까 png파일을 열어보니 아래와같이 Flag 값이 나왔다.