chipkkang9's story

[N0Named Wargame Season2] 우리의 추억들 문제풀이 본문

CTF/Forensic

[N0Named Wargame Season2] 우리의 추억들 문제풀이

chipkkang 2021. 7. 20. 18:59

준비물

friend_diskC.ad1, AccessData FTK Imager, Thumbnail Database Viewer

 

https://accessdata.com/product-download/ftk-imager-version-4-5

 

FTK Imager Version 4.5

AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.

accessdata.com

http://forensic-proof.com/archives/2092

 

썸네일 포렌식 분석 (Thumbnail Forensics) | FORENSIC-PROOF

 

forensic-proof.com

 

 

문제소개

 

[N0Named Wargame Season2] 우리의 추억들 문제

 

문제풀이

 

문제를 보니 아무래도 사진 복구와 관련된 문제같다.

우선 문제에 있는 링크에 들어가서 friend.zip을 다운받아 주었다.

 

아래 그림과 같이 암호를 입력하는 창이 나오길래

『펀하고,, 쿨하고,, 섹시한 포렌식』

을 (영어로)입력해주었더니 압축이 풀렸다.

 

다운받은 zip 파일을 열었을 때 나오는 화면

 

압축이 풀린 폴더에 들어가면 아래와 같은 화면이 나온다.

 

friend 폴더

 

가장 먼저 눈에 띄는 것이 friend_dskC.ad1 이미지 파일이었다.

하지만, 왠지 아래에 있는 txt 파일에 힌트같은 것이 있을 것 같아서 txt 파일 먼저 열어보았다.

 

friend_diskC.ad1.txt 파일이고, friend_diskD.001.txt와 크게 다르지 않다.

 

음... 별거 아닌 것 같다. 아무래도 C드라이브, D드라이브에 대한 설명을 담은 텍스트 파일같다.

 

그럼 본격적으로 AccessData FTK Imager에 friend_diskC.ad1 파일을 열어보자.

이 문제의 목적은 손실된 이미지 파일들을 복구하는 것이다.

나는 그래서 두 가지 툴을 고민했다.

하나는 NTFS Log Tracker - blueangel 이고, 다른 하나는 Thumbnail Database Viewer 이다.

 

(시간이 없는 사람은 이 부분은 건너뛰어주길 바란다.)

 

우선,  NTFS Log Tracker를 사용하기로 생각했다.

NTFS Log Tracker는 NTFS
$LogFile, $UsnJrnl, $MFT 파일을 파싱하여

CSV 파일포맷으로 결과를 출력한다.

 

이를 이용하면 파일의 로그(생성, 수정, 파일명변경, 삭제 등)를 분석할 수 있다.

그러기 위해서는 우선 $LogFile, $UsnJrnl:$J, $MFT 파일이 필요하다.

 

$UsnJrnl:$J 파일은 \[root]\$Extend\$UsnJrnl:$J 경로로 들어가면 찾을 수 있다.

 

/[root]/$Extend/$UsnJrnl에 들어가서 $J 파일을 찾은 화면

 

하지만,  나머지 $LogFile, $MFT 파일은 도저히 찾을 수가 없었다.

해당 파일들 말고 다른 단서가 있지 않을까 했지만 결국 이 방법은 옳지 않은 길이였음을 알게 되었다.

 

(내가 해결한 풀이방법이다.)

 

그래서, Thumbnail Database Viewer(thumbcacheviewer)를 사용하기로 했다.

Thumbnail Database Viewer는 Windows의 폴더에서 사용되는 썸네일 캐시를 보여주기 위한 도구이다.

썸네일 캐시는 원본 이미지가 삭제되더라도 보존된다.

 

... 라는 정보에서 이 툴을 사용해보기로 한 것이다.

우선적으로 이 툴을 사용하려면 썸네일 캐시를 담고 있는 폴더를 찾아야 한다.

이 폴더의 경로는 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer이다.

 

%UserProfile%\AppData\Local\Microsoft\Windows\Explorer의 경로로 접근한 화면

 

썸네일 캐시들을 담은 폴더를 찾았으면, 해당 폴더를 추출하여 Thumbnail Database Viewer에 넣어준다.

그러면 flag를 담은 이미지 파일이 보인다!

 

썸네일 캐시가 들어간 폴더를 Thumbnail Database Viewer에 넣어준 화면

 

 

레퍼런스

https://ko.wikipedia.org/wiki/NTFS

 

NTFS - 위키백과, 우리 모두의 백과사전

NTFS개발사마이크로소프트정식 명칭New Technology File System[1]도입1993년 7월 - 윈도우 NT 3.1파티션 식별자0x07 (MBR) EBD0A0A2-B9E5-4433-87C0-68B6B72699C7 (GPT)구조디렉터리 내용B+ 트리[2]파일 할당비트맵불량 블

ko.wikipedia.org

https://ko.wikipedia.org/wiki/%EA%B5%AC%EB%AC%B8_%EB%B6%84%EC%84%9D

 

구문 분석 - 위키백과, 우리 모두의 백과사전

구문 분석 위키백과, 우리 모두의 백과사전.

ko.wikipedia.org

https://ko.wikipedia.org/wiki/CSV_(%ED%8C%8C%EC%9D%BC_%ED%98%95%EC%8B%9D) 

 

CSV (파일 형식) - 위키백과, 우리 모두의 백과사전

CSV(영어: comma-separated values)는 몇 가지 필드를 쉼표(,)로 구분한 텍스트 데이터 및 텍스트 파일이다. 확장자는 .csv이며 MIME 형식은 text/csv이다. comma-separated variables라고도 한다. 오래전부터 스프레

ko.wikipedia.org

http://forensic.korea.ac.kr/DFWIKI/index.php/Thumbnail_Database_Viewer

 

Thumbnail Database Viewer - Digital Forensic Wikipedia

Thumbnail Database Viewer는 Windows의 폴더에서 사용되는 섬네일 캐시를 보여주기 위한 도구이다. 섬네일은 폴더 내의 파일의 축소판이며, 섬네일 캐시는 원본 이미지가 삭제되더라도 보존한다. 본 도

forensic.korea.ac.kr

 

'CTF > Forensic' 카테고리의 다른 글

[N0Named Wargame Season2] 유출된 자료 거래 사건 [3] 문제풀이  (0) 2021.07.22
[N0Named Wargame Season2] 유출된 자료 거래 사건 [2] 문제풀이  (0) 2021.07.22
[N0Named Wargame Season 2] infect 문제풀이  (0) 2021.07.20
[N0Named Wargame Season2] Left Side B  (0) 2021.07.14
[N0Named Wargame Season2] 길에서 주어온 만두 문제풀이  (0) 2021.07.14
'CTF/Forensic' Related Articles more
Comments