문제 파일 : File_Delete_002.E01
사용한 Tool : AccessData FTK Imager 4.1.1.1.exe
문제 : 'USB 안에 들어있던 중요한 ID값이 적힌 파일을 삭제를 하였고, 파일을 복수 시켜 플래그를 획득하라.'
File_Delete_002.E01 파일은 FTK Imager로 열어서 unallocated space에 들어가서 087104를 보게되면 flag값이 보인다.
파일을 Export 하여 WinHex로 보게되면 PNG 파일이라는것을 확인할수 있다.
그리고 NTFS Log Tracke를 사용하여 로그를 보게되면 파일이름이 lastfile.png 라는걸 확인 할수 있다.
Answer : 60a1f926-c87c-45d3-a4ff-be0ecbfc7caa
'WarGame > Forensic' 카테고리의 다른 글
| [SuNiNaTaS] Forensic 15 (0) | 2018.01.21 |
|---|---|
| [SuNiNaTaS] Forensic 14 (0) | 2018.01.21 |
| [Crescendo] File Delete Problem 01 (0) | 2017.08.31 |
| [Crescendo] Hidden File Problem 01 (0) | 2017.08.31 |
| [Crescendo] Stego Problem 01 (0) | 2017.08.25 |
