[N0Named] [C] 우리의 추억들 풀이

문제 : 실수로 중요한 사진을 지운 것 같은데 복구해 줄 수 있냐잉 -_-^ ?

(해당 다운로드 파일은 용량이 커서 다소 오래걸림)

 

diskC랑 diskD ad1 나옴 -> FTK Imager로 살펴봅시다.

 

diskD는 오류 메세지가 뜨면서 접근이 불가능하다. 그러나 문제에서는 '사직 복구' 관련 문제이므로 diskD랑은 관련 없는 내용이라 생각했고, 아마 다른 문제에서 사용되는 디스크인 것 같다.

diskC를 살펴봅시다.

우선적으로 desktop을 살펴보니 [과제]의 흔적이 남아있었는데, 고양이와 강아지에 대한 심오한..자료를 볼 수 있었다.

이후 downloads를 보는데 youtube.jpg가 Regular File이 아닌 $I30 INDX Entry이다.

 

https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html

위 링크에 의하면 NTFS 파일 시스템이 파일이나 폴더를 삭제했을 때 $I30 INDEX 파일에 기록되는 듯 한데,

youtube.jpg가 $I30 INDEX Entry 이므로 사진이 삭제되었다는 말로 해석했다. (당연히 사진도 안보임)

 

 

사진을 삭제했으니 휴지통 기록을 우선 살펴보기로 했다.

$Recycle.Bin 폴더 : 휴지통의 정보를 담고 있는 폴더

 

youtube.jpg의 파일 이름과 관련되어 보이는 사진을 발견했다.

유튜브 "썸네일" 문구를 보고 유튭 썸네일을 굉장히 대충(?) 만들었네 라는 생각함. 

그런데 굉장히 평범해 보이고 정상적인 JPG인데 flag에 대한 힌트가 안보였다...

 

 

그래서 사진을 삭제해서 복구하기 힘들 때 차선책으로 볼 수 있는 썸네일 캐시를 보기로 했다.

윈도우 Vista 이상에서의 썸네일 캐시 경로는 user\AppData\Local\Microsoft\Windows\Explorer 에 존재하며,

Thumbcache_##.db 의 형태 파일로 저장되어 있다. 

이전 버전인 XP에서는 "미리 보기" 옵션 하나 밖에 없어서 Thumbs.db를 통해서 관리해왔지만, Vista 부터는 "아주 큰 아이콘(256x256)", "큰 아이콘(96x96)" 등 으로 다양해졌기에 Thumbcache_##.db의 형태 파일로 저장한다.

 

 

해당 폴더에 가서 thumbcache를 export합시다 ! (이때, 용량크기 좀 있는 256,32,96 중에서 그림이 큰 256을 선택하자)

 

Thumbcache.db를 보기 위해서 thumbcache Viewer를 설치했다.

https://thumbcacheviewer.github.io/ 

중요!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 32bit로 download 해야 한다.

(당연히 64bit로 다운받았다가 계속 file is not database 문구 뜨길래 온갖 구글링은 다해서 해결 방법을 찾아봐도 나오지 않았다. 1시간 후에 처음으로 돌아가 다시 설치하려고 할 때 설마~? 하고 32bit 다운 받았더니 .....해결..ㅠ.ㅠ;;)

 

 

샤샷 발견~!

 

 

 

끝 !

 

 

 

(알고보니 유튜브 썸네일이라 적혀있던 사진은.........썸네일 캐시를 찾으라는 힌트인가..?ㅋㅋㅋㅋㅋㅋㅋㅋ)

 

 

 

 

 

 

< 썸네일캐시 참고자료>

blog.naver.com/PostView.nhn?blogId=sunkwang0307&logNo=221433384449&parentCategoryNo=&categoryNo=46&viewDate=&isShowPopularPosts=true&from=search