DEFCON 18 CTF Forensics 100(f100) writeup
問題文: Find the key
超訳:キーをみつけて。
問題ファイルが何かを確認。
pentest@pubuntu:~/ctf/forensic100$ file f100_6db079ca91c4860f.bin
x86 boot sectorでだそうです。
f100_6db079ca91c4860f.bin: x86 boot sector; partition 1: ID=0x7, starthead 0, startsector 31,
31558 sectors, extended partition table (last)\011, code offset 0x0
ファイルの先頭を確認します。
pentest@pubuntu:~/ctf/forensic100$ hexdump -C f100_6db079ca91c4860f.bin | head
00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
000001c0 01 01 07 00 df fa 1f 00 00 00 46 7b 00 00 00 00 |..........F{....|
000001d0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
000001f0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 aa |..............U.|
00000200 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
00003e00 eb 52 90 4e 54 46 53 20 20 20 20 00 02 08 00 00 |.R.NTFS .....|
00003e10 00 00 00 00 00 f8 00 00 3f 00 ff 00 1f 00 00 00 |........?.......|
フォーマットは、「NTFS」だと分かりました。
「file」コマンドの結果から、「startsector」は「31」からですので
余分なところを「dd」で削ります。
# もしかしたら削らなくても「autopsy」で見られるかも。
# flsでは読めなかったような。。。
pentest@pubuntu:~/ctf/forensic100$ dd if=f100_6db079ca91c4860f.bin of=f100.dd bs=512 skip=31
削った後のファイルを「autopsy」で見ます。
31585+0 記録始め
31585+0 記録終わり
16171520 バイト (16 MB) コピー終了, 0.3696 s, 43.8 MB/s
早速、[key]なんてファイルが見つかりますが削除されていて中身が読めません。
次に、「KEYWORD SEARCH」で「key」という単語を検索。
↓検索結果
目でそれらしいところをgrep(eye-grep?)していると
明らかに怪しい個所を発見。
答えは
「notdeleted,neverexisted」