MFT Header Entry의 Signature라는 것을 알 수 있다.
그렇다면, 섹터 2개로 되어있으니 MFT Entry가 맞겠군....
MFT Entry 분석을 통해서 attribute content를 알아낸다.
MFT Entry 구조
MFT Entry - MTF Entry Header 구조
MFT Entry - Attribute Header 구조
resident flag로 판단됨.
MFT Entry - resident flag의 attribute header 구조
MFT Entry Header - Attribute Type ID 값
80 -> $DATA attribute 찾기
5A -> attribute 내용 크기
18 -> attribute 내용 시작 위치
그래서 이미지 파일 내부 데이터가 아래와 같다.
난 처음에 이 데이터로 md5 값을 구했다. 그랬더니 틀렸다.
왜냐하면.. fixup array 때문!!!
- MFT Fixup Array 영역은 MFT Entry의 데이터 무결성을 판단 하는 영역이다.
- MFT Entry는 1024바이트로 하나의 MFT Entry는 2개의 섹터를 사용한다.
- Fixup Array는 2섹터를 전부 이용해서 해당 MFT Entry가 무결성을 가지고 있는지 판단하기 위해서 각 섹터의 맨 마지막 2바이트를 이용해서 Fixup Array를 구현한다.
MFT Entry Heade의 Offset to fixup array와 Entries in Fixup array를 통해 값을 확인하면
섹터의 맨 마지막 04 00의 원래 값은 33 37이다.
때문에 여기를 바꿔서 다시 데이터를 추출한다.
https://blog.forensicresearch.kr/
Forensic-Research
김규빈(ws1004)의 디지털 포렌식 연구 글이 작성되는 블로그입니다. 추후 디지털 포렌식 말고도 리버스 엔지니어링이나 여러 취약점 분석 글도 올릴 예정입니다.
blog.forensicresearch.kr
'워게임 > CTF-D' 카테고리의 다른 글
| [Disk] Find Key(ELF) (0) | 2021.11.17 |
|---|---|
| [Disk] 범죄자는 자신의 인생을... (0) | 2021.11.17 |
| [Disk] Please get my key back! (0) | 2021.11.16 |
| [Disk] 서울에 사는 IU가 특정 웹... (0) | 2021.11.16 |
| [Disk] 데이터센터 중 하나가 정보의... (0) | 2021.11.16 |
댓글