ftk imager로 열여보면 뭔가 이상하다
찾아보니 VBR이 깨져있어 그렇다고 한다
E01파일을 row 타입으로 추출해서 Hxd로 열어보고 맨 끝으로 가면
볼륨 맨 끝에 복구영 VBR이 있다 이걸로 NTFS 파일 시스템 복구 가능
VBR 섹터 0x200을 복사해 맨 앞에 붙여넣고 ftk imager로 열었다
여러 파일들 중 DO_NOT_READ_THIS.png에 flag 힌트가 있다 sha-256이 정답
아래에 있는 keyfile의 텍스트를 복사해 해시값을 HashCalc로 구하면 된다
답은 DH{e71e2b1230fd090aebd3a347310acac611e0161684fb4b7703135b6cc91bb7ac}
'SWUFORCE > Write-up' 카테고리의 다른 글
| Find the USB (레지스트리 실습) (0) | 2026.05.12 |
|---|---|
| Autoruns (레지스트리 실습) (0) | 2026.05.06 |
| VBR(파일시스템 실습) (0) | 2026.05.05 |
| Helfy image (0) | 2026.04.29 |
| hidden (0) | 2026.04.29 |