-첨부파일을 FTK Imager를 통하여 열면 volume[NTFS] 정보를 확인.

  이어서 트리를 따라 내부구조를 확인하다 보면 문제명인 Black과 관련된 키워드로 root/Black/B (115).jpg를 확인 할 수 있다.

  여기서 black.txt의 파일 타입이 Alternate Data Stream(ADS)로 B(115).jpg 파일에 black.txt 파일의 내용을 숨겨놓았음을 짐작할 수 있다.

- black.txt 파일을 추출하여 HxD로 확인해보아도 무슨 파일인지 식별이 되지 않는다.  FTK트리를 조금 더 살펴보면 Black과 Hole 각각의 폴더에 유사한 검은색 바탕의 jpg 파일이 들어있다.

- ssdeep툴을 사용하여 각 폴더에 jpg 파일 유사도를 비교해보면 전체는 아니지만 몇몇의 파일들이 99퍼센트의 유사함을 뛰는 것을 확인 할 수 있다.

- 각각의 매칭되는 파일들은 헤더부분과 푸터부분이 조금씩 다른것을 볼수가 있는데 Black 폴더의 jpg는 배열순서를 Hole폴더의 jpg는 문자를 나타내는 것으로 보인다.

  유사한 파일 28개의 파일을 순서와 문자를 배열하여 정리하면 7ru3CyP7_P422w0Rd_57r1n9_K1 문자열을 확인 할 수있다. 해당 문자열로 보와 TrueCrypt 비밀번호임을 추측할 수 있다.

- TryeCrypt툴을 사용하여 black.txt(black.tc 형식으로 변환필요) 파일에 암호키를 대입하여 black.txt를 복호화 하면 플래그 값을 획득할 수 있다.

플래그 : EyE Am ph33|1n6 |u(ky