센다이 CTF2018 For.4 파일 복원 300

1739 단어 센다이 CTFCTF

문제





풀어 보았다.



파일을 다운로드하고 압축을 풀 때 dd 파일이있었습니다.
FTK Imager에서 열어보세요.



확실히 파일이 있음을 확인할 수있었습니다.
그리고 사이즈가 0이 되어 있는 것도 확인할 수 있었습니다.

파일을 삭제하고 있다면 바로 복원할 수 있을 것 같습니다만, 사이즈 0으로 덧쓰기한 경우는 어떻게 복원할까요?

조금 몰랐기 때문에, 자신의 단말에서 같은 일을 해 보았습니다.
일단 텍스트에 문자를 쓰고 그것을 저장.
그 후 문자를 전부 지워 저장.
그 후 FTK로 읽어 검색.
라고 해 보았습니다만, 결과는 히트 하지 않았습니다.

이미지 안에 Firefox의 데이터도 있었기 때문에 Firefox에서 뭔가 ID와 pass를 입력했습니까?
그렇다면 어쩌면 브라우저에 ID와 pass를 기록했을 수도 있습니다.

Roaming 다음을 모두 이것으로 바꿔 Firefox를 실행해 확인해 봅니다.



로그인과 비밀번호를 살펴 보았지만 결과적으로 아무 것도 등록되지 않은 것 같습니다.
웹 기록을 살펴보겠습니다.



거의 yahoo 밖에 보지 않습니다.
문제가 된 악성 코드에 액세스하고 있음을 알 수 있습니다.

음.
혹시 $MFT에 직접 쓰여졌나요?
확실히, 짧은 문자라면 그대로 쓰여졌을 것이다.



그런 곳을 발견했습니다.
이마이치 사양을 잘 모르겠지만, 우선 「.」가 없는 곳의 연속한 문자열을 입력하면 정답이었습니다.

좋은 웹페이지 즐겨찾기