Plz Recovery - CTF문제

이번 문제는 포렌식 문제입니다.

"recovery.vhd"파일을 하나 주며 파일 형식을 알아보기 위해 FTK Imager를 통해 확인해 보겠습니다.

 

위 파일은 NTFS파일이며 "recovery.vhd"파일에 파티션 1이 한개 나눠줘 있는 것을 확인하였습니다. 해당 NTFS파일만 볼수 있게 파티션 1 부분파일만 이미지로 추출해 보겠습니다.

 

Hxd 툴을 이용하여 열었을 때 섹터 0번이 내용이 없는 것을 확인 할 수 있습니다.

여기서 알 수 있는 것 NTFS파일 구조를 알고 있으면 풀 수 있습니다.

 

NTFS의 0번 섹터를 지칭 하는 것은 VBR입니다

 

- VBR

 

VBR은 NTFS 구조에서 가장 앞부분에 위치하는 영역입니다.

VBR의 첫 번째 섹터는 부트 코드를 포함하여 있고 클러스터 크기가 512인 경우 VBR 자체가 부트 섹터가 되고 데이터에 대한 정보들을 담고 있다.

VBR 백업본은 NTFS파일 파티션의 마지막 섹터임을 기억해야합니다.

 

주의!!

-> 파일은 MBR부터해서 파티션이 대부분 나눠줘 있기 때문에 전체 파일에 대한 파일 VBR 및 백업 섹터는 다르기 때문에 잘 확인하고 풀어야 합니다.

예를 들어 파일의 구조가 위 그림과 같다면 해당 파티션만 추출하여 0번 섹터부터 확인하거나 섹터를 확인하고 봐야합니다.

 

- 문제풀이

"recovery.vhd"파일의 VBR 백업 섹터는 96255섹터임을 확인하였다.

96255섹터 내용을 0번 섹터로 그대로 복사하여 저장하고 파일 내용을 확인해 보겠습니다.

 

위 그림과 같이 파일이 복구 되어 파일들을 확인 할 수 있었습니다.