2026盘古石初赛介质取证部分WriteUp
CSDN图片加载好像有问题,详情可以移步我的博客 https://blog.enxiaohao.cn/
有关簇、扇区的基本概念和FAT文件系统的原理就不细说了,不过感觉MBR分区以及FAT、GPT文件结构这些基本的数据恢复知识还是很有必要学的。详细知识点我这篇博客不做详细解释,大家可以在网上搜索一些资料学习。
呃呃,看电影的题就不做了。
X-ways如何打开?
首先想xways直接打开看这个img检材是不行的,会直接崩溃,010打开可以看见,这个0号扇区不太对
这个应该是DBR引导扇区,有MSDOS标志。但是很明显文件尾部的55AA没有了,很多地方和第六扇区的备份不一样。
最简单的,把6号扇区的备份恢复回去,然后就能看了。
shutil.copyfile(src,dst)withdst.open("r+b")asf:f.seek(6*512)boot=f.read(512)f.seek(0)f.write(boot)备注一个结构图帮助理解,这里没有MBR相当于整个镜像都是一个文件系统卷,就是常见于U盘、SD卡这种的。
当然,火眼还是十分强大,直接解析文件结构了,但是前面有关bpb参数的一些题目是没法用火眼做的。
题目部分
- 分析方俊朗UDisk.img检材,第一个扇区前3字节的十六进制值是什么?(答案格式:AA-DD-WW)
EB-3C-90