SuNiNaTaS의 32번문제 풀이입니다.
[FORENSIC]
경찰청으로 부터 연쇄 테러 용의자로 부터 압수한 USB 이미지 분석을 의뢰 받았다.
최초 분석을 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러 보다 실수로 특정 부분이 손상되고 이미지가 인식되지 않는다.
당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.
1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)
2. 다음 테러 장소는?
인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소)
예) lowercase(MD5(2016-03-28_13:00:00_Pink Lake)
hex editor로 열어보면 FAT32로 포멧되어 있는 것을 알 수 있다.
표에 따르면, 0x1FE~0x1FF 범위에 부트레코드 손상여부를 확인하는 용도의 시그니처 0x55AA가 있어야 한다고 한다.
그러나 이 이미지파일에는 없다.
시그니처 위쪽으로 밀려 있다. 사이에 NULL바이트를 추가해서 올바른 위치로 밀어주었다.
1FE - 126 = D8
D8크기 만큼 추가해주면 된다.
그러면 FTK Imager에서 정상적으로 인식한다.
2차 테러 계획.hwp를 추출해서 열어보면 다음 테러 장소를 알 수 있다.
Rose Park
파일 수정 시각은 파일 속성을 보면 된다.
2016-05-30_11:44:02
MD5(2016-05-30_11:44:02_Rose Park) == 8ce84f2f0568e3c70665167d44e53c2a
'WAR GAME > SuNiNaTaS' 카테고리의 다른 글
| SuNiNaTaS [FORENSIC 31번] 풀이 (0) | 2018.09.03 |
|---|---|
| SuNiNaTaS [FORENSIC 30번] 풀이 (0) | 2018.08.08 |
| SuNiNaTaS [FORENSIC 29번] 풀이 (3) | 2018.08.08 |
| SuNiNaTaS [FORENSIC 28번] 풀이 (0) | 2018.08.07 |
| SuNiNaTaS [SYSTEM 27번] 풀이 (0) | 2018.08.07 |