[Dreamhack(드림핵)] Write up _ Corrupted Disk Image

https://dreamhack.io/wargame/challenges/1189

Corrupted Disk Image

---

 

디스크 이미지가 안열리는 문제라 한다. 파티션 복군가..?

아무튼 문제를 풀어보기 위해 다운로드 받아서 FTK imager로 열어보았다.

 

원래 열어보면 NTFS인지 FAT32인지 떠서 그거 공식대로 파티션 찾아서 갖다 붙이면 되는데 열어보니 그것도 안뜨고 헥스값을 보니 그냥 다 날라가있는걸로 나와있다.

 

헥스 맨 앞에가 날라가 있는걸로 봐서는 VBR이 날아간 모습같다.

일단 복구하려면 어떻게 해야하는지 찾아봤다..(전에 실기 공부할때 VBR 손상은 안고쳐봄 ㅠㅅ ㅠ)

 

https://weekhack.tistory.com/51

NTFS - 손상된 NTFS VBR(Volume Boot Record) 복구

다른 분 블로그를 확인했다..

이거 말고도 글 많긴 한데 음 NTFS의 경우에는 VBR의 사본이 섹터 마지막에 존재한다고 한다.

일단 NTFS인지 모르겠지만 NTFS라고 가정하고 생각해서 복구하기로 했다.

 

맞다 파티션 복구할 때는 E01파일로 하면 안되고 raw파일로 바꾸어서 해야한다..!!! 001파일로 새로 저장해야됨.

 

add누르고 해서 이렇게 raw파일로 뺄 수 있다.

 

 

Hxd에서 해당 001파일을 열어주었다.

파티션 따라 보고싶으면 그냥 드래그앤 드롭 말고 

이걸로 열어야 한다.

 

 

열어보면

 

 

일케 나온다.

 

공부한 대로 맨 아래 섹터로 이동해 보았다.

 

맨 아래 섹터에서 NTFS의 VBR을 찾을 수 있었다. 해당 부분을 복사 해서 맨 앞에 덮어씌워주었다.

 

 

 

복구 이후에 다시 FTK imager에서 열어보면 정상적으로 파일이 보이는 것을 확인할 수 있다.

 

여기서 플래그를 찾아야하기 때문에 의심가는 파일을 찾아주었다.

읽지 말래는 png 파일이 있는데 누가 봐도 수상해보여 눌러보니 맞았다.

 

플래그가 sha 256값인것같다.

그리고 그 파일 아래에 keyfile이 있었다.

 

keyfile에 적여있는 값을 sha256 암호화 해서 제출하면 될 것 같다.

https://coding.tools/kr/sha256

SHA256 암호화 온라인 도구 - Coding.Tools

 

암호화 툴은 위에걸 사용했다.

 

그렇게 해서 답을 입력하면..

풀었당.