![[KH Wargame] - Forensic02 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FYPB96%2FbtqBHyzMqCO%2FX8KbsSxrUgMKZ21g44BOk0%2Fimg.png)
Forensic02
hint: Booting the virtual machine.
먼저 다운로드한 .7z파일 압축을 해제해줍시다.
압축을 풀면 .vmdk파일이 나옵니다. Forensic03, Forensic04문제를 풀기 위해서는 .vmdk파일을
이용해 가상머신을 부팅하는 방법을 알아야하니 잘 숙지해 두시길 바랍니다.
VMware을 실행해 다음과 같이 실행합니다.
이렇게 해주면 .iso파일이 들어가지 않은 빈껍데기 가상 머신이 만들어지게 됩니다.
이렇게 만든 가상 머신을 실행시켜 줍니다.
다음과 같이 나타나는게 정상입니다.
이제 해당 머신을 멈추고 가상 머신의 Default 경로인
C:\Users\유저이름\Documents\Virtual Machines\Forensic02로 이동해줍니다.
원래 있던 .vmdk파일을 삭제하고 아까 다운받은 파일을 Forensic02.vmdk로 변경하여 넣어줍니다.
이제 다시 실행을 해줘봅니다.
하지만 여전히 부팅이 안되는걸 보면 .vmdk파일이 손상되어 보입니다.
HxD 디스크 이미지 열기 기능을 사용하여 .vmdk 파일을 분석해봅시다.
vmdk 파일이기 때문에 0번 섹터에 MBR이 위치해있지 않고 vmdk 헤더가 적혀있습니다.
원래 MBR의 위치는 다음과 같이 구할 수 있습니다.
사각형안에 Offset을 살펴보면 0x80 0x0A 즉, 리틀 엔디안 기법으로 인해 0x0A 0x80 = 2688번 섹터가 MBR의 실제 주소라는걸 확인할 수 있습니다. 2688번 섹터로 이동해봅시다.
보시다시피 해당 Offset이 손상되어 있네요.
다음과 같이 바꿔줍니다. 0x46 -> 0x80(부팅 가능한 파티션)
0x54 -> 0x55
이제 파일을 저장하고 다시 가상 머신을 실행시켜 보겠습니다.
다음과 같이 바탕화면에 Flag가 나타납니다.
Flag: md5(flag)
'Wargame > KH Wargame' 카테고리의 다른 글
| [KH Wargame] Network01 풀이 (0) | 2020.04.23 |
|---|---|
| [KH Wargame] - Forensic05 풀이 (0) | 2020.02.06 |
| [KH Wargame] - Forensic04 풀이 (0) | 2020.02.05 |
| [KH Wargame] - Forensic03 풀이 (0) | 2020.02.04 |
| [KH Wargame] - Forensic01 풀이 (0) | 2020.02.02 |