[Suninatas] Forensics_32

문제
http://suninatas.com/challenge/web32/web32.asp

경찰청으로 부터 연쇄 테러 용의자로 부터 압수한 USB 이미지 분석을 의뢰 받았다.
최초 분석을 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러 보다 실수로 특정 부분이 손상되고 이미지가 인식되지 않는다.

당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.
1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)
2. 다음 테러 장소는?

인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소)

예) lowercase(MD5(2016-03-28_13:00:00_Pink Lake)

 

풀이

 

1. 문제 파일 확인 및 복구

HxD로 주어진 파일을 보면 MBR(섹터0) 항목이 이상한 것을 확인할 수 있다. MBR의 크기는 기본적으로 512bytes로, MBR의 마지막 부분인 55AA는 섹터 0의 마지막에 위치해야 한다. 하지만, 현재 파일은 MBR의 중간 부분이 삭제된 것으로 보인다. 백업 부분에서 손상된 MBR 데이터를 가져와 복구해야할 것 같다.

FAT32 파일시스템의 경우 MBR 위치에서 6섹터를 더하면 백업 본이 존재한다. 따라서, 섹터 6으로 이동하여 데이터를 확인한 결과, 다행히 섹터 6 근처에 정상적으로 백업되어 있었다.

 

백업 데이터와 섹터 0을 비교하여, 삭제됐된 부분을 가져와서 붙여주었다. 그 결과, MBR의 마지막 부분인 55 AA가 MBR 구역의 마지막 부분인 잘 위치할 수 있었다.

FTK Imager로 확인한 결과, 처음 주어젼 파일은 아예 인식이 되지 않았는데 복구 결과, 아래와 같이 정상적으로 업로드가 되었고 내부 구성도 정상적이었다. (복구 성공!)

 

2. 테러 계획이 들어있는 문서의 수정 일시

최상위 경로를 보면 "2차 테러 계획.hwp"이 존재한다. 추출하여 수정 시간을 확인했다.

답: 2016-05-30_11:44:02

 

3. 다음 테러 장소

한글 파일을 열면 장소가 나온다.

답: Rose Park

 

정답

2016-05-30_11:44:02_Rose Park

8ce84f2f0568e3c70665167d44e53c2a