ftk imager로 열었을 때 다음과 같이 파티션 3개 + recovered 파티션 1개가 나온다.
hxd로 열었을때 partition table을 분석해보면 다음과 같다.
partition 1 -> 0x07(NTFS)
partition 2 -> 0x01(FAT 12)
partition 3 -> 0x05(MS Extended)
partition 4 -> empty
hxd에서 이 값으로 검색하면 112767 섹터, 112896 섹터에서도 나온다.
그런데 112767섹터에 있는 것은 $MFT도 없고.. 정확히는 파악할 수 없지만 손상된 것 같다.
partition table에 112896섹터에서 발견한 거로 맞게 채우면 된다...
(귀찮아서 생략)
597eb84759c836cf9889e07770ffacf7
근데 ctf-d 사이트가 안열린다..???.?.?
https://yum-history.tistory.com/256
[Disk Forensic] 복구 된 키 이미지 파일의...
Disk Forensic #30 (복구 된 키 이미지 파일의...) 해당 문제 파일을 다운 받아서 FTK Imager 도구를 통해 확인해보면 특이한 점은 존재하지 않는다. FTK Imager : 포렌식의 가장 기본 도구로, 디스크 이미징
yum-history.tistory.com
'워게임 > CTF-D' 카테고리의 다른 글
| [Network] DefCoN#21#1 (0) | 2021.11.29 |
|---|---|
| [Disk] IU는 악성코드에 의해 감염된… (0) | 2021.11.28 |
| [Disk] 인도의 Buszbee 마을 Busybox... + docker save, load, run, exec (0) | 2021.11.17 |
| [Disk] Find Key(ELF) (0) | 2021.11.17 |
| [Disk] 범죄자는 자신의 인생을... (0) | 2021.11.17 |
댓글