LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@samohan

Defcon DFIR CTF 2018 HR Server - Attribute ID 2

Posted at

問題

image.png

HRサーバー-属性ID
2

$UsnJrnlというファイル名を持つMFTエントリの名前付き$Jデータ属性のMFT属性IDは何ですか?

[形式は整数です]

解いてみた

$Jのidを答える問題。
$Jというのはいまいちよくわかってませんが、特殊なファイルで$UsnJrnlっていうファイルっぽい雰囲気の中に入ってるファイルです。。。

FTK Imagerを使ってイメージを読み込みます。
\[root]\$Extend\$UsnJrnlの中を見ます。

image.png

$UsnJrnlっていうのが一見ファイルのアイコンになってるんですが、その中に入ることができて、そこに$Jがあるという仕組みなんです。

fteを使って抽出したMFTのデータの中には$Jは入ってません。
そしてFTK Imagerでも属性IDというのは見えません。

属性IDを見るにはActive@ Disk Editorっていうソフトを使用すれば見れます。

Active@ Disk Editor
https://www.disk-editor.org/index.html

ただ、e01ファイルを直接読み込めないので一旦ほかのソフトでマウントする必要があります。
FTK imagerでマウントしてDisk Editorで中身を見ようと思ったんですが、なぜか失敗してしまいました。
なのでArsenal Image Mounterでマウントしなおします。

Arsenal Image Mounter
https://arsenalrecon.com/

image.png

この状態で再度Disk Editorで中身を見てみます。

image.png

見れました。
見れたらMFTレコードの中から$UsnJrnlを探します。

検索機能を使用して$UsnJrnlを探します。
勢いあまってANSIに「$UsnJrnl」と入力してしまうとヒットしないので注意してください。

image.png

$UsnJrnlの文字列のちょっと前にFILE0という文字列があればMFTレコードです。
黄色い部分を見ると$Jの文字もあります。

image.png

黄色い部分にフォーカスして、左のnameの項目のAttribute IDを確認すると答えがわかりました。

image.png

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?