[Forensic] 써니나타스 Challenges 32번 문제 (미해결)

 

써니나타스 마지막 문제다. USB 이미지 분석을 의뢰 받았는데, Hex Editor로 이것저것 보다가 실수로 특정 부분이 손상되었다고 한다. 

 

2가지 질문에 대한 답을 해야 한다.

 

당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.
1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)
2. 다음 테러 장소는?

인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소)

예) lowercase(MD5(2016-03-28_13:00:00_Pink Lake)

 

 

일단 HxD로 파일을 확인해보았다.

FAT32 파일 시스템 구조를 생각해보면..

 

 

이 부분에 시그니처인 0X55AA가 나와야하는데 지금 00 00 만 적혀있다. 위를 보면

 

 

이 블록 부분이 0x01FE, 0x01FF까지 있어야 하는데 한참 위에 위치해있다.

 

 

근데 저장해도 별 다른게 없어서

 

 

이 뒤에 52 52 61 41 부분도 다 옮겨줬더니

 

 

백업파일이 생성됐다! 

이걸 FTK Imager로 분석해보자. 

 

 

아니 ,, 분명히 제대로 저장했는데 왜 에러가 날까..?

 

^^..

 

1시간 동안 찾았는데도 해결방법을 전혀 모르겠다. 파일 크기 변경 유의해서 잘 저장했는데 .bak 확장자에 문제가 있는걸까..? 문제 풀이를 잠시 보류하고 해결방법을 찾아야겠다.