@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

課題のネタ2

課題を解くのに必要なパスワードをどこかに仕込んでおかないといけなかったので、FATのロングファイル名のエントリとして書いておきました。(削除されているのでディレクトリエントリを検索しないと発見できないんですけど)
FATのロングファイル名のエントリは分割して文字列が保存されているので、エントリの途中に含まれる予約データなどが文字に見えたようで、なかなか苦労している生徒が多かったです。ディレクトリエントリの定義テーブルを参考にゆっくり見ながらいけば大丈夫かなと考えていたのですが、最後の1文字が抜けていたり、UTF-16で書かれているのでスペースを入れてしまったりと惜しい人が多かった気がします。
ヒントを仕込んでいたのですが、EnCaseでみた時のオフセット位置をヒントに書いていたので、単純にバイナリエディタで開いたときとオフセット位置がずれてしまいヒントではなく偽ヒントになってしまうという失敗もあったりしましたが...orz