[Dreamhack] lolololologfile ; forensic

1. 문제 설명이다. 누군가 플래그가 있는 PDF 파일을 삭제했으니, 복구하라고 한다. 

 

2. 다운받은 파일이 E01 이미지 파일이라서, FTK 이미저로 열어보았다. 수상해보이는 건 가장 하단 폴더의 파일들과, root 폴더의 seg1~seg4 파일이었다. 

 

하단에 있는 폴더의 이름이 Unallocated space인데,

이는 할당되지 않은 공간(Unallocated space)으로, 하드디스크, SSD 등의 저장 장치에서 어떤 파티션에도 속해 있지 않고, 운영체제가 파일이나 데이터를 기록할 수 없는 빈 공간을 의미한다고 한다.

 

3. 삭제된 파일을 알아보기 위해 어톱시에서도 열어보았다. seg1부터 seg4까지 4개의 파일이 삭제된 파일란에 있다.

 

4. 이걸 extract 해봤는데, 뭔가 잘못됐는지 크기가 0kb로 나와서 다시 살펴보았다.

 

5. 아까 FTK 이미저에서 발견한 이 4개 파일이 사이즈가 동일하게 작고 하필 4개라서 이것들을 export 해보았다.

 

6. 이 4개 파일 형식이 뭔지를 알기 위해서 hxd로 확인해보았는데, 02067 파일의 헤더가 pdf 인 것을 발견했다.

 

 

7. 또 마지막의 05082 파일 푸터가 pdf인 것을 발견했다. 파일 4개를 합치면 pdf가 복구될 것 같았다.

 

 

8. hxd 도구 - 연결 기능으로 4개를 연결했고, 확장자를 pdf로 변환해주니

 

9. pdf가 복구되어 flag를 얻었다!!

 

 

해결 완👊🏻