[SuNiNaTaS/Forensic] 32번 풀이

문제의 파일.. 900MB가 넘는 파일을 다운받자

먼저, Hex Editor로 만지다가 손상되었다고 하니까 손상된부분부터 고쳐야 한다.

파일을 HxD로 열어보면 다음과 같다.

 

보면, 중간에 FAT32라고 적혀있는 것을 통해 이 이미지 파일 시스템 구조가 FAT 32라는 것을 알 수 있다.

그래서 일단 FAT32 파일 구조를 검색해보자. (출처)

 

현재 이미지파일과 구조를 비교해보면 시그니쳐의 위치가 다르다는 것을 알 수 있다.

시그니쳐(0x55 0xAA)는 0x01FE~0x01FF에 위치해야 하는데

얘는 여기있다... 그 앞부분들은 다 정상적으로 위치해있다!

그래서 0x01FE 0x01FF에 위치하게끔 55 AA 바로 앞을 다 0으로 채워주었다.

채울때는 꼭 Insert 키 누르고!

 

그리고 저장한다.

 

이제 USB Image를 열어볼건데, 난 FTK Imager를 사용하였다. 

디지털포렌식 2급을 준비하면 사용할줄 알아야 되는것같아서 전에 다운받았는데 3개월만에 처음 써봄

 

쨌든 FTK Imager에서 해당 파일을 열어준다.

열어보면 2차 테러 계획 파일이 있다.

해당 파일을 우클릭해서 Export files를 눌러 내 컴퓨터에 저장하고, 파일을 열어본다.

 

 

;;테러 계획을 무슨 문화교실 홍보지처럼 깔끔하게 만들어놨네..

 

쨌든 문제를 다시보면

당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.

1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)

2. 다음 테러 장소는?


인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소)

테러 문서의 수정 일시랑 테러 장소를 구해야 한다.

테러 장소는 내용에서 보다시피 Rose Park이고,

문서의 수정 일시는 

UTC+9(한국 표준시)로 2016-05-30_11:44:02이다.

근데 수정한 날짜가 만든 날짜보다 일찍일 수 있나..?

 

쨌든 인증키는 lowercase(MD5(2016-05-30_11:44:02_Rose Park)).

 

이것도 파이썬 공부하면서 코드 짜봤다.

 

import hashlib

msg = "2016-05-30_11:44:02_Rose Park"

enc = hashlib.md5() #sha3_128, sha3_256 ...
enc.update(bytes(msg,'utf-8'))
encText = enc.hexdigest()

print(encText)

 

Authkey: 8ce84f2f0568e3c70665167d44e53c2a