[NONamed Wargame] 우리의 추억들 Writeup

Background

삭제된 파일을 복구 하는 방법은 총 3가지가 있다.

1. 카빙(해당 공간이 다른 데이터로 덮여 쓰이지 않았을 경우)

2. 휴지통

3. 썸네일 캐시(이미지 파일일 경우)

문제 분석

삭제한 사진을 복구하는 문제인 것 같다.

다운받은 폴더를 보면 AD1파일, 001 압축 파일, 그리고 각 파일들의 텍스트 문서가 있다.

하하 감도 안잡힌다. 일단 AD1이나 001파일은 바로 안 열리니까 만만해 보이는 텍스트 파일이나 열어보자!

+ diskC, diskD 는 로컬 디스크 C, D를 의미한다고 한다.

 

friend_diskC.ad1.txt

으음 FTK Imager에서 만들어진 텍스트 파일인가보다. 그리고 무슨 블라블라 소스 들이 있다.

 

friend_diskD.001.txt

오 아까 보다 뭔가 색다른 정보들이 있다. 일단 case number랑 evidence number가 생겼다. 그리고 device 정보랑 이미지 정보, 이미지 판별 결과(?) 등이 있다. 그리고 암호화 해쉬들이 있으니까 이걸 이용하면 될 듯 싶다!아니었다;; 이건 걍 FTK 해서 뽑으면 나오는 정보인 듯

 

뭘로 열어봐야할꼬~ FTK에서 만들어진 파일이라니까 FTK로 일단 열어볼까~

+ FTK로 특정 정보만 갖고 있기 때문에 카빙 불가

 

일단 삭제한 파일이라고 하니까 휴지통을 먼저 확인해보자. 휴지통 폴더는 $Recycle.Bin이다.

 

과제 폴더에 멍멍이랑 고양이 사진들이 많이 들어있다. 

 

자료조사 파일을 열어봤는데 아주 간단명료!

 

Download 폴더에는 youtube.jpg 이미지가 있다. 근데 안 열리는 걸로 보아 삭제된 친구가 아닌가 싶다.

이미지 파일이 삭제된 거니까 썸네일 캐시가 존재할 수 있다.

썸네일 캐시의 위치는 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 다.

 

썸네일 캐시를 보기 위해 Thumbache Viewer를 사용했다.

일단 가장 크기가 큰 _256db를 열었다.

 

쭉 내리다 보니 이렇게 flag가 저장된 캐시를 확인할 수 있었다.