드림핵 포렌식 FFFFAAAATTTT

https://dreamhack.io/wargame/challenges/303

FFFFAAAATTT

문제 설명

FIXFIXFIX! FFFAAATTT!

(문제파일 다운로드에서 받지 마시고, 아래의 링크를 통해서 문제파일을 다운받으시기 바랍니다.)
문제파일 : https://drive.google.com/file/d/17ESNJryAYuHa3M5GiBIb9r2JNhXLqKBa/view?usp=sharing

 

FAT 파일을 수리하는 문제인 것 같은데조금 자료를 찾아봤다

 

FAT란?

File Allocation Table. 구조가 단순해서 속도가 빠르지만 단순해서 안전성, 보안성 문제가 있음

FAT는 파일의 위치 정보를 기록한 테이블이다.

각 파일과 디렉터리를 데이터 구조체에 할당하고 이를 클러스터라는 유닛에 저장.

 

 

우선 다운로드 받은 파일을  HxD로 열어주었습니다

 Fix the Disk!!!!라고 강력하게 요구를 하고 있는 모습이네요.

 

그래서 역시나 여러 블로그를 찾아보고 방향성을 잡아보았습니다. 

참고한 블로그는

https://m.blog.naver.com/PostView.naver?blogId=autumn666&logNo=221677514809&fromRecommendationType=category&targetRecommendationDetailCode=1000

https://m.blog.naver.com/PostView.naver?blogId=autumn666&logNo=221678521482&fromRecommendationType=category&targetRecommendationDetailCode=1000

https://m.blog.naver.com/PostView.naver?blogId=autumn666&logNo=221679387023&fromRecommendationType=category&targetRecommendationDetailCode=1000

 

그래서 결론은

1. 해당 코드는 섹터 0이 손상되어 있다

2. FAT 에서 섹터0은 Boot Code를 포함하는 굉장히 중요한 부분이기 때문에 섹터 6에 내용을 복제해놓는다

3. 그것을 가져와서 섹터 0을 복구

4. 이후 FTK Imager로 돌려주기 -> FAT 32기 때문에 파일 내용을 확인할 수 있는 툴이 필요합니다. 

 

위의 과정을 수행하면 아래와 같이 뜨게 됩니다

 

누가봐도 Dreamhack -> noway!.zip이라는 부분이 이 문제를 푸는데 가장 유의미하다는 느낌을 뿜뿜 주고 있습니다. 

해당 파일을 추출해줘서 실제로 열어보았습니다

 

반디집으로 압축 해제를 해보니 해당 파일에 비밀번호가 걸려 있네요...!

여기 Dreamhack파일들 안에 사진들이 가득한데 여기서 유일하게 확인할 수 없는 GG라는 그림 파일이 있었습니다.

그래서 이걸 HxD로 열어서 뜯어보기로 결정(일단 모르면 HxD로 열어보는 습관이 있어서..)

 

해당 GG.PNG 파일을 HxD로 열어보니 바로 Zip 파일의 비밀번호를 알려주네요

해당 비밀번호를 입력해보면

이렇게 플래그를 확인할 수 있습니다 

정답 : DH{3a5y_FAT32_r3bui1d}

 

//뭔가 풀다보니 언인텐이 가득한 느낌이네요