디스크를 fix하라고 한다.
일단 Fix the Disk!!!!는 지웠다.
FAT 파일 복구를 검색해서 일단 시그니처인 55 AA를 검색했다.
파티션 4개까지 존재 가능하다는데 3번부터 위치할 수도 있는 건가…? MBR 위치 자체를 잘 모르겠다.
일단 파티션에서 짚어야 할 부분은 여기다. 앞 4바이트는 시작 주소, 뒤 4바이트는 끝 주소를 의미한다.
앞 4바이트를 읽어서(리틀엔디언) 계산한 섹터가 BR 위치라는데…
…존재하는 섹터보다 큰 수가 나왔다.
일단 55 AA 보이는 곳중에서 가장 내용이 많고 그럴싸한(?) 곳이다. MSDOS5인 것을 보아 구조가 맞는 거 같은데…
라업 봤다. 위 섹터를 0 영역에 덮어씌워야 한다. 섹터 0에 부트 레코드가 존재하기 때문이라고 한다.
다시 ftk에서 열어보자 (개인적으로 autopsy보다 ftk가 더 편해서 해당 툴 사용했다…)
잠시 라업 넣어두고 다시 내가 풀었다.
막 둘러보니까 Dreamhack 폴더가 있다.
flag 있는 파일을 찾은 거 같은데 암호가 있다.
GG.PNG가 안열리고 다른 파일보다 swp이라는 파일도 있다.
zip key가 있다.
._flag에는 더미값이 있었다.
FINISH 파일에 존재한다.