문제를 보면 인증키 형식이 출발지_거쳐가는곳(1곳)_최종도착지이므로
위치 정보가 키라는 것을 알 수 있다.
아래 다운로드를 눌러 notebook 파일을 다운받았다.
확장자도 따로 없어서 먼저 HxD로 살펴보았다.
아래 사진을 보면 파일 시그니처 부분에 ADSEFMENTEDFILE이라고 적혀있는데
뭔지 몰라서 구글에 검색해 보았다.
|
AD SEGMENT FILE (Access Data Segmented File): -Access Data 에서 지원하는 파일 포맷 -FTK Imager를 통해 Dump를 수행했을 때 확장자를 AD1으로 진행할 경우 만들어지는 파일FTK Imager: - 포렌식의 가장 기본이 되는 도구로, 디스크 이미징 작업에 많이 활용한다. - 수집된 데이터 무결성 보장을 위해 비트 단위 또는 비트 스트림으로 알려진 정확한 복사본(포렌식 이미지)을 생성 |
위와 같이 ADSEFMENTEDFILE은 FTK Imager를 통해 Dump를 수행했을 때 확장자를 AD1으로 진행할 경우 만들어지는 파일이므로 일단 notebook의 확장자를 ad1로 바꾸어 준다.
그 다음 해당 파일을 열어보기 위해 FTK Imager 프로그램을 다운받았다.
https://accessdata.com/product-download
Product Downloads
AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.
accessdata.com
위의 링크에서 FORENSIC TOOLKIT (FTK) VERSION 7.1.0을 다운받으면 된다.
그 다음 AccessData FTK Imager 프로그램을 실행해 notebook.ad1 파일을 열어보니 아래 사진과 같은
파일 구조를 확인할 수 있었다.
여러 폴더의 파일들을 살펴보던 중 Desktop 폴더에 GPS Route Editor 문자열과 위도, 경도 정보가 있는 xml 파일을 발견했다.
해당 파일을 자세히 보니 http://www.gpsnote.net 이라는 URL이 있어서 해당 URL로 접속해 보았다.
GpsNote.NET
이 사이트는 인터넷 익스플로러 8.0 미만은 지원하지 않습니다. 8.0 이상으로 업그레이드 하시거나 파이어폭스, 구글 크롬 등의 다른 웹브라우저로 접속하시기 바랍니다. *Latest Version is 3.9.5 GPS ROU
www.gpsnote.net
위 사이트는 Route Editor라고 해서 GPS 트랙 로그파일을 생성/ 편집할 수 있는 프로그램 사이트였다.
아까 Desktop 폴더에서 발견한 6095485345 파일을 열어보기 위해 위 사이트에서 프로그램을 다운받았다.
6095485345 파일을 FTK Imager 프로그램에서 추출한 후 열려고 하니까 확장자가 .gpx여야 되서
확장자를 바꿔준 후 다운받은 GPS ROUTE EDITOR로 열어보았다.
파일을 열면 제일 먼저 보이는 출발지는 공덕역(GONGDEOK)이다.
지도를 더 축소해서 보면 김포 국제공항(GIMPOINTERNATIONALAIRPORT)을 거쳐서
최종적으로는 동부 렌트카(DONGBURENTALCAR)로 이동하는 것을 알 수 있다.
맨 처음에 키로 공덕역, 김포 국제공항, 동부렌트카를 조합해서 정답에 입력해 봤는데 정답이 아니라고 떠서 구글에 정답을 찾아보니 이 문제를 만들었을 때는 동부렌트카 위치에 세븐일레븐이 있었다고 한다.......(왜 정답 수정 안해줘요)
그래서 정답은
공덕역_김포 국제공항_세븐일레븐 !
flag: GONGDEOK_ GIMPOINTERNATIONALAIRPORT_ 7-ELEVEN
'CTF Write-Ups > XCZ.KR' 카테고리의 다른 글
| [XCZ.KR] PROB.2 (0) | 2020.08.10 |
|---|---|
| [XCZ.KR] PROB.1 (0) | 2020.08.10 |
