問題文: Find the key
超訳:キーをみつけて。
問題ファイル
問題ファイルが何かを確認。
pentest@pubuntu:~/ctf/forensic100$ file f100_6db079ca91c4860f.bin x86 boot sectorでだそうです。
f100_6db079ca91c4860f.bin: x86 boot sector; partition 1: ID=0x7, starthead 0, startsector 31,
31558 sectors, extended partition table (last)\011, code offset 0x0
ファイルの先頭を確認します。
pentest@pubuntu:~/ctf/forensic100$ hexdump -C f100_6db079ca91c4860f.bin | head
00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
000001c0 01 01 07 00 df fa 1f 00 00 00 46 7b 00 00 00 00 |..........F{....|
000001d0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
000001f0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 aa |..............U.|
00000200 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
00003e00 eb 52 90 4e 54 46 53 20 20 20 20 00 02 08 00 00 |.R.NTFS .....|
00003e10 00 00 00 00 00 f8 00 00 3f 00 ff 00 1f 00 00 00 |........?.......|
フォーマットは、「NTFS」だと分かりました。
「file」コマンドの結果から、「startsector」は「31」からですので
余分なところを「dd」で削ります。
# もしかしたら削らなくても「autopsy」で見られるかも。
# flsでは読めなかったような。。。
pentest@pubuntu:~/ctf/forensic100$ dd if=f100_6db079ca91c4860f.bin of=f100.dd bs=512 skip=31 削った後のファイルを「autopsy」で見ます。
31585+0 記録始め
31585+0 記録終わり
16171520 バイト (16 MB) コピー終了, 0.3696 s, 43.8 MB/s
早速、[key]なんてファイルが見つかりますが削除されていて中身が読めません。
次に、「KEYWORD SEARCH」で「key」という単語を検索。
↓検索結果
目でそれらしいところをgrep(eye-grep?)していると
明らかに怪しい個所を発見。
答えは
「notdeleted,neverexisted」
DEFCON 18 CTF Forensics 100(f100) writeup
Filed under 未分類
7 Comments
Defcon関連して、Hangulに翻訳してガジョガドでしょうか? (google翻訳)
>kid1412
미안해요. 나는 한국어를 모르겠습니다. 이 번역 사이트에서 용서해 주십시오.
http://www.excite-webtl.jp/world/korean/web/?wb_url=http%3A%2F%2Fn.pentest.jp%2F%3Fp%3D739&wb_lp=JAKO&wb_dis=2&wb_submit=+%E7%BF%BB+%E8%A8%B3+
私のsiteへpostingできますか?
>kid1412
한국어를 할 수 없어서 미안합니다.
확인시켜 주십시오.
당신의 사이트에의 post?
무엇을 post 하면 좋습니까?
Mistake … sorry
DEFCONの問題を…私のsiteにcopyしてもですか?
내가 쓴 기사를 당신의 site에 copy 하는 것은 OK입니다. 잘 부탁합니다.
copy 하면 가르쳐 주십시오.
thank you
Trackbacks/Pingbacks