해당 파일이 손상되었다고 한다. HxD로 확인해보면, FAT32(EB 58 90)인 것을 알 수 있다.
보면 FSINFO의 마지막 시그니처는 마지막 4bytes에 위치한다. 부트 섹터와 같은 ''55 AA" 값을 가진다. 하지만 위의 파일을 확인해 보면 0x126~0x127에 55 AA가 존재하는 것을 볼 수 있다. 앞에 입력 되어 있는 모든 섹터의 시그니처를 원래의 자리로 옮기기 위해 0으로 채웠다.
FTK Imager를 이용해 테러리스트 문서를 찾아보겠다.
1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9) 2016년 5월 30일 월요일, 오전 11:44:02
2. 다음 테러 장소는? Rose Park
MD5로 인코딩 해보면 8ce84f2f0568e3c70665167d44e53c2a 값이 나온다.
'SKS!_2024 하계 방학 STUDY' 카테고리의 다른 글
| [SKS!/Forensics] 2주차 | Monday 문제 1 evidence02 (0) | 2024.07.26 |
|---|---|
| [SKS!/Forensics] 1주차 | Friday 문제 1 Suninatas 29 (0) | 2024.07.22 |
| [SKS!/Forensics] 1주차 | Wednesday| 문제 1 zipper (0) | 2024.07.19 |
| [SKS!/Forensics] 1주차 | Tuesday 문제 1 XCZ.KR: prob16 (0) | 2024.07.19 |
| [SKS!/Forensics] 1주차 | Monday 문제 2 Dreamhack: broken-png (0) | 2024.07.19 |
