문제

htp://ctf. 세 c 탄 b. jp/2017/짱게 s
도메인이 변경되었습니까?

풀어 보았다.

확인 문제?

센다이 CTF2017 [ForX] FAT32 포맷 일시 300
와 같이 풀어 보겠습니다.



이것이 대답일까라고 생각하면, 어떻게 달랐습니다!
과연 제 해결 방법은 실은 옳지 않다는 것입니다. . .

정책으로는

어딘가에 포맷 한 날짜와 시간이 남아 있습니다

일본 이외의 타임 존으로 포맷하고 있어, 일시를 변환할 필요가 있다

중 하나를 생각하고 싶습니다.

1은 google 검색해 보았습니다만, 발견되지 않았으므로 일단 보류.
2를 하겠습니다.
타임 존 잘 모르겠지만, 우선 1시간씩 어긋나 보자.

결국 2017/12/02-17:48:08부터 2017/12/03-19:48:08까지 전부 해 보았지만, 전부 달랐습니다.

1을 다시 한번 조사해 보지만, 그런 것에 가서는 안된다.

여기서 3을 떠올린다.

3 「System Volume Information」은 삭제할 수 있으므로, 포맷 후에 한번 삭제하고 있는 것이 아닌가.

그래서 복원 소프트웨어를 사용하고 싶은 곳.

인터넷에서 검색하여 나온 Recuva를 설치.



응! 이것에 비해 좋은 느낌으로 나아가는 느낌이 없습니까?
우선 3개 모두 복원해 봅니다.

본편과 관계 없지만 Excel이 신경이 쓰이므로 열어 봅니다.



수수께끼의 가계부.

WPSettings.dat 파일 작성 날짜와 시간을 살펴 보겠습니다.



작성 일시가 대답일 거라고 생각해 입력해 보았습니다만, 빗나갔습니다.
갱신 일시도 마찬가지였습니다.
액세스 일시도 마찬가지였습니다.

IndexerVolumeGuid의 파일 작성 날짜와 시간을 살펴 보겠습니다.



아무도 좋지 않았습니다.

Excel로 돌아가



전회 보존 일시는 초가 없지만 우선 00으로 해 보았지만 부정해.
콘텐츠 작성 일시는 2015년이므로 이것은 다를 것입니다.
라고 말하면서 일단 넣어 본다. 부정해입니다.

Excel은 zip이므로 확장자를 zip으로 바꾸고 압축을 풉니다.
그리고 "2017"에서 grep.



그러면 파일 작성 일시와 갱신 일시의 초까지 있는 것을 추출할 수 있었습니다.
UTC로 기록되어 있었기 때문에 이것에 9시간 더한 것을 입력해 보았습니다만, 부정해였습니다.
일단 9시간 더하기 전의 상태에서도 입력해 보았습니다만, 부정해였습니다.

잘 모르기 때문에, 이 문제는 후회해.