Forensic_Recover-deleted-file

disk-image.gz file이 있다. 우선 이 파일을 압축 해제한 후 파일에 대한 정보를 확인한다.

이때 이 파일에 대해 좀 더 알아보기 위해 binwalk를 사용한다.
binwalk는 파일 시그니처를 이용하여 어떤 데이터가 들어 있는지 확인하는 도구이다.

그 다음 scaplel을 사용한다.
scaplel은 파일 시그니처를 기반으로 삭제된 데이터를 복구할 때 사용하는 도구이다.
설정 파일을 변경 혹은 추가를 할 시 scaplel.conf를 다음과 같은 형식으로 작성한다.

File Format

y

Max carve size

Header Signature

Footer Signature

scaplel을 사용해서 나온 디렉토리이다.

./scalpel-output/elf-0-0 디렉토리에 들어가면 00000000.elf file이 있다.
실행 권한이 없으므로 chmod로 권한 부여한다.

그래서 실행시키면 flag 값이 나온다.