[Christmas CTF 2016] 포렌식 / HFS+ Volume Creation Time

문제

풀이

먼저 주어진 파일을 FTK Tool로 열어보면 Mac OS 시스템인것을 확인할 수 있다.

Mac OS 포렌식은 처음이라 구글링을 통해 정보를 수집했고,

http://sysforensics.org/2016/09/mac-dfir-hfs-filesystem-volume-header/

다음과 같은 블로그를 찾을 수 있었다.

000000410 Offset의 D3 B9 00 BF 부분이 생성된 날짜에 해당하는 곳임을 알게되었고,

FTK Tool로 해당 Offset으로 이동해 D4 7B 24 F5가 생성된 시간임을 알았다.

D4 7B 24 F5 값을 시간으로 변환해야 하는데 위에서 발견한 블로그에서 The Sleuth Kit 이라는 툴을 발견했다.

http://www.sleuthkit.org/sleuthkit/desc.php

해당 툴로 간편하게 Create Date를 구할 수 있었다.

하지만 2016-12-17-17:23:01을 KST로 바꿔서 인증해보았지만, 계속 틀렸다고 나오고 그냥 넣어도 틀렸다고 나오고 해서 굉장히 화가 났었다. (이렇게 푸는게 아닌가..?)

다른 문제를 풀고 있었는데 다음과 같이 공지가 나왔고, 기존에 구했던 16진수 값인 D4 7B 24 F5를 넣으니 바로 인증 성공했다. ㅇㅅㅇ

FLAG : D4 7B 24 F5