crescendo Prefetch Probelm 01

부트 프리패치의 크기, 버전을 묻는 문제이다.

 

처음 파일을 알집으로 압축되어 있는데 압축을 풀면 다음과 같은 파일들이 있다.

많은 파일들이 저장되어 있는데 그중에서도 부트 프리패치는 NTOSBOOT-B00DFAAD.pf 파일이다.

 

필자가 기존에 프리패치 파서를 제작하는 과제? 같은것을 받았는데 실패해서 다음에 다시 도전해보기로 했다.

 

아무튼 파싱을 할려면 기본적으로 프리패치를 hex값으로 봤을때 어느 부분에서 파싱해올지를 고민해보아야 한다.

 

이 말은 pf파일의 구조를 알아야 한다는 것이다.

 

요즘 윈도우 10을 많이 사용하는데 윈도우 10 버전부터는 프리패치가 압축되어 파일 헤더에 MAM 이라는 decoding text가 있지만 이 프로그램은 압축을 미리 해제한것인지, window 10 이하의 버전인지는 몰라도 SCCA의 헤더를 가지고 있다.

 

따라서 따로 압축 해제할 필요 없이 prefetch 파일 구조를 분석하면 된다.

 

1번째 17 00 00 00 부분은 프리패처의 버전을 나타내고 2번째 86 29 1B 00 은 프리패치 파일의 크기를 나타낸다.

 

따라서 key format 형식으로 바꿔주면 문제는 해결된다.

 

flag : 1780102_00000017