-
Multimedia - 이 그림에는 뭔가 좀 수상한...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 11. 16:06
문제 파일을 확인해 보면 평범한 사진 처럼 보입니다.
HxD로 한번 확인해 보겠습니다.
00000000 오프셋부터 시작을 해서 png 파일의 footer 시그니쳐인 49 45 4E 44 AE 42 60 82 중에서 앞부분 4개만 존재합니다.
이부분에서 이상하다는 느낌을 받긴 했지만 뭐 없는 것 같아서 넘어갔고 사진 하나에 생각보다 많은 HEX값이 있는것 같았습니다.
PNG Footer 시그니처가 1개 뿐이기 때문에 또다른 사진을 은닉 하지 않았나 싶어서 JPEG 파일의 Header 시그니쳐를 확인해 봤습니다.
JPEG Header 시그니쳐 : FF D8 FF E0 ~~
혹시나 했지만 Header 시그니쳐가 존재 합니다.
물론 해당 JPEG의 Header와 Footer 사이의 Hex값을 복사해서 파일을 생성해도 되지만
명령어 중에서 binwalk명령어와 foremost 명령어를 이용해서 한번 추출해 보겠습니다.
binwalk명령어로 확인해 본 결과 HEXADECIMAL의 값을 보면 0xBAE0F 로 되어있는데 HxD에서 FF D8 FF E0 의 FF 시작값이 0xBAE0F인 것을 확인 할 수 있습니다.
그리고 foremost 명령어로 추출을 했고 현재 디렉토리 밑에 output 폴더에 추출된 데이터가 존재 할 것입니다.
원본 파일과는 다른 사진이 존재 하는 것을 확인 할 수 있습니다.
Flag : ABCTF{PNG_S0_COO1}
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Multimedia - 저는 당신의 생각을 알고 있습니다. (0) 2019.06.12 Multimedia - 이 파일에서 플래그를 찾아라! (0) 2019.06.12 Multimedia - 원래 의미가 없는 것들도 의미가 있을 수 있다. 단지 그것을 발견할 필요가 있다. (0) 2019.06.11 Multimedia - 우리는 이 파일에 플래그를… (0) 2019.06.11 Multimedia - Listen carefully!! (0) 2019.06.11