우리의 추억들
N0Named Wargame 사이트가 안 열려서...
받은 파일로 문제를 풀어보겠다.
실수로 삭제한 사진을 복구하는 문제라고 한다.
압축 파일 암호
fun_cool_and_sexy_forensic_><
flag format
SWING{}
위의 암호를 입력하고 압축을 풀어주자.
툴이 두 개 필요한데,
포렌식 작업에서 발생할 수 있는 사고를 방지하기 위해 미디어를 복제하는 FTK imager 와,
썸네일 캐시 DB를 읽을 수 있는 Thumbnail Database Viewer 가 필요하다.
FTK imager 처음 썼을 때 설치와 사용법은
이전에 풀었던 문제인 위 링크에 나와있으니 패스하도록 하겠다.
Thumbnail Database Viewer - IT Samples
위 링크에서 Thumbnail Database Viewer를 설치해 사용한다.
일단 FTK imager로 파일을 열고,
RECYCLE.BIN 이란 녀석을 보니까 예전에 푼 문제에 나온 그림이 몇개 나왔다.
유튜브 썸네일 그림이 뜨는걸로 썸네일 캐시 문제인걸 알아차릴 수 있다던데 왜 나는 고양이도 유튜브도 안 보일까...
friend 폴더에 든 파일들을 눌러보자.
별게 없는데...
썸네일 캐시 저장위치는
Users -> AppData -> Local -> Microsoft -> Windows -> Explorer
저기 보이는 DB 중에 수상해보이는 녀석들 몇개를 Export Files 해준다.
저 안에 플래그가 있다고 한다.
Thumbnail Database Viewer 로 열어주면...
대체 왜 파일 열기를 했는데 아무 일도 일어나지 않는걸까?
96.db는 흰 화면이고 1280db, 1920.db, 2560.db 는 저런 식의 깨진 화면이 나온다.
왜인지 계속 오류가 나서...
툴도 다시 깔고 과정을 처음부터 해봤는데도 뭐가 잘못됐는지 플래그가 도통 나오질 않았다.
일단 Export된 파일을 열면 이렇게 플래그가 나온다는 사실만 알고 가자...
SWING{LONGTIME NO SEE}