Suninatas Forensics 32번 Write Up

문제 파일은 USB 이미지 파일이다. FTK Manager로 열려고 했는데,

엥?

열리지 않는다. 그러다가 문제를 다시 봤는데....

최초 분석을 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러 보다 
실수로 특정 부분이 손상되고 이미지가 인식되지 않는다.

?????? 이거 신입이 스파이 아니냐; 증거 훼손.....

백업본도 없다는거에 실망했지만, 일단 복구는 가능한지 봐보자. HxD로 열어보면

처음에는 문제가 없나 했는데, 중요한 0x55 0xAA가 정확한 위치가 아니라 다른 위치로 옮겨져 있는것을 볼 수 있었다. 처음에는 구조보고 맞춰야하나 했는데, 귀찮아서 널값으로 채워보았다.

쭉 채워서 올바른 위치까지 0x55 0xAA를 옮겨주자. 그리고 다시 FTK Manager로 열어보면

정상적으로 열리는 것을 볼 수 있었다.

 

1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)

2차 테러 계획.hwp를 추출하여 확인해보면

2016년 5월 30일 오전 11시 44분 02초이다. UTC+9인데 한국시간이므로 그냥 이 시간 그대로 이용하면 된다.

 

2. 다음 테러 장소는?

 

 

한글 파일을 열어보면 바로 알 수 있었다.