[SuNiNaTaS] Forensic 32

문제 파일 : USB_Image(SuNiNaTaS)

사용한 Tool : HxD.exe, FTKimager.exe

문제 : "Terrorist"

문제에서 Hex Editor로 둘러보다 실수로 특정부분이 손상이되었다고한다.

이미지를 HxD.exe로 열어서 확인해본다.

Fat32 부트섹터 영역인데 다른건 괜찮은데 Signature 부분이 끝에 있지않고 앞으로 당겨져있다. 

Fat32 경우에는 부트섹터가 손상될것을대비하여 6번째 섹터에 내용을 

백업해놓는데 두개가 같은지 확인을 해본다.

( Signature (0x55AA))

<HxD.exe>

6번째 섹터에도 부자연스러운게 보인다 뭔가 앞으로 당겨진듯한 느낌이 있다.

<HxD.exe>

fsinfo(file system infomation) 부분도 Trail Signature가 비슷하게 당겨져 있는 느낌이다.

(FSINFO는 일반적으로 BR다음 섹터(1번째 섹터)에 저장되는 구조

FSINFO 구조의 용도는 운영체제에게 첫 비할당 클러스터의 위치와 비할당 전체 클러스터의 수를 알려줌)

<HxD.exe>

Null바이트로 당겨진크기만큼 늘려준다.(Signature가 끝에 위치할 만큼)

138byte의 Null 값을 넣어주니 부트 섹터부분이 딱 맞게 떨어진다.

<HxD.exe>

백업섹터쪽에도 가보니 Signature가 딱 맞게 떨어진다.

<HxD.exe>

이제 USB이미지 파일이 FTKimager로 열어지고, 테러 계획이 들어있는 문서가 보인다.

<FTKimager>

< 첫번째 질문 >

1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)

문서의 속성부분에 들어가서 수정한 날짜를 확인한다.

<2차 테러 계획.hwp 속성>

Answer : 2016-05-30_11:44:02

< 두번째 질문 >

2. 다음 테러 장소는?

파일을 열어보니 친철하게 장소가 나와있는게 보인다.

<2차 테러 계획.hwp>

Answer : Rose Park

MD5(2016-05-30_11:44:02_Rose Park)

↓

Answer : 8ce84f2f0568e3c70665167d44e53c2a