[Dreamhack] FFFFAAAATTT

 

일단 문제 이름을 보니 FAT32 File System 부트 레코드 관련 문제인 것 같다.

 

 

다운받은 파일을 HxD로 열어서 위와 같이 [ 도구 -> 디스크 이미지 열기 -> 512 ]를 선택하면

시스템 이미지 파일이라는걸 알 수 있다.

 

 

Fix the Disk!!!! 라는 문자열이 계속 나오다가 RRaA라는 글자 뒤로 보이지 않는 것을 확인할 수 있다.

Fix the Disk란 말은 뭔가 손상된 것을 고치란 말이겠지.

 

지금 내 파일에서는 왜인지 안 보이는데...

섹터 0 부분에 Fix the Disk! 문자열이 들어가 있어서 정상적으로 인식이 안된다고 한다.

RRaA 바로 윗줄까지는 섹터 0 이고 RRaA부터는 섹터 1 이다.

 

Exterro - E-Discovery & Information Governance Software

 

FTK imager Tool 이라는 것을 위의 사이트에서 설치해서 확인해보았다.

더 자세한 정보를 얻을 수 있다고 한다.

 

 

 

File -> Add Evidence Item

 

 

Physical Drive -> Basic data partition -> NONAME -> root

 

 

이걸로 봐도 파일 시스템 인식이 안된다.

이런 경우는 보통 부트 레코드의 변조나 손상이 주된 이유이다.

 

부트 레코드(BPB)란,

파일 시스템/예약된 영역의 첫번째 섹터에 보관되며,

FAT(USB의 파일 포맷 방식)에 대한 세부정보가 들어있어서

시스템이 응용 프로그램을 시작하는데 필요한 다른 영역의 위치를 찾아내 읽고 실행할 수 있다.

윈도우가 FAT 파일 시스템을 인식하는데 있어서 가장 중요한 영역이다.

컴퓨터 부팅을 시작하는데 필요한 데이터를 유지 관리하는데 사용되는 하드 디스크의 저장소 공간 섹션이기도 하다.

파일에 액세스하고 부팅을 시작하는데 필요한 모든 데이터는 마스터 부팅 레코드에 포함된다.

 

 

다시 HxD에서 BR을 봐보자.

보통 FAT32 시스템 이미지의 백업 BR은 섹터 6번에 위치하고 있다고 한다.

섹터 6이란 글자가 보이진 않았지만 얼추 저 지점인건 찾아냈다.

 

여기 BR을 복사해서 Fix the Disk!!!!로 도배되어있던 섹터 0 영역에 삽입하면 된다.

보통 시스템 부트레코드는 섹터 0 영역에 위치하기 때문이다.

 

 

이제 저장을 하고,

파일을 FTK imager를 사용해 열어보겠다.

 

 

오.

아까는 안되던 파일 시스템 (FAT32)과 시스템 내부 폴더와 파일들을 정상적으로 확인할 수 있다.

 

 

root -> Dreamhack 폴더 안에 파일이 많다.

 

 

noway!.zip 압축 파일 안에 플래그로 보이는 txt 파일이 있다.

 

 

이런. 암호가 걸려있다.

 

 

아까 있던 그림 파일들 중 GG.png 파일을 Export Files 기능을 이용해 추출해준다.

 

 

추출한 파일을 HxD로 열어준다.

 

zip 파일의 키는 DHDHFIX 이다.

 

 

 

아. 이 파일이 아니다.

 

 

이 녀석이 진짜다.

 

 

DH{3a5y_FAT32_r3bui1d}

 

 

성공했다고 40 포인트 받았는데 캡쳐를 못했다. 아쉬워라.