forensic-focus

링크에 들어가 파일을 다운받고 보니 이미징 파일이었다..001 확장자인 이미징 파일이기 때문에 해당 이미징의 구조를 확인하기 위해 FTK Imager를 통해 확인해 볼꺼다.  -> Evidence Tree 부분에 Unrecognized file system로 파일 시스템 확장자가 인식이 안된다는 소리다. 인식이 안된다고 한다면?-> Boot Record부분이 손상되거나 내용이 빠져있다는 소리다.아래의 hexa값을 보면 Boot Record가 와야하는 자리에 Fix the Disk!!!!라고 적혀있는 것을 볼 수 있다. 문제 파일이 FAT라고 쓰여 있어서 FAT파일 구조를 가진 문제인 것 같아 FAT파일 구조 분석할꺼다. (출처 :https://blog.forensicresearch.kr/13）** FAT..

문제를 다운받았을 땐 아래와 같이 하얀 곰이 그려져 있는 .png 파일을 볼 수 있다.육안상으로는 파악되는 부분이 없으니 HxD를 열어확인해 볼꺼다. Header 시그니처를 살펴보자.-> HXD를 열고 헤더 부분을 보았다. 아무 이상이 없다. Footer 시그니처 값도 봐보자. -> 푸터 값을 확인해도 이상을 찾을 수가 없었다..PNG 형식을 잘 갖추었다. 시그니처를 통해 얻을 수 있는 문제는 보이지 않았다. * PNG 시그니처 값(Hexa)Header 시그니처Footer 시그니처89 50 4E 47 0D 0A 1A 0A49 45 4E 44 AE 42 60 82출처 :  f" data-og-host="sh1r0hacker.tistory.com" data-og-source-url="https://sh1r0..