[Forensics] Matryoshka Doll

 

첨부파일을 확인해 보겠습니다.

 

문제 이름 그대로 마트료시카 인형 사진이 포함되어 있습니다.

 

Hex 값을 확인해 보겠습니다.

Header signature와 Footer signature을 확인해보고 png 파일이라는 것을 알게 됬는데

010 editor를 이용해서 확인해 보면  

아래쪽에 tEXt 영역이 포함되어 있습니다.

 

tEXtSoftware APNG Assembler 2.91 이라고 적혀 있습니다. 

 

tEXt는 영역을 힌트로 준것 같고, APNG Assembler로 만들었다고 되어있는것 같으니 APNG DisAssembler를 이용해서 추출해 보겠습니다.

 

이렇게 파일이 4개가 나왔습니다.

 

txt 파일에는 APNG Assembler 를 이용할때 사용한 delay 값이 들어있습니다.

 

똑같은 사진이 2개가 나왔는데 물론 겉으로만 같을 것입니다.

openstego를 이용해서 한번 두 파일을 추출해 보겠습니다.

 

apngframe1.png => flag.docx

apngframe2.png => flags.docx

 

 

flag.docx 파일에는 다음과 같은 문자열이 들어있습니다.

인형의 주인은 그의 마트료시카 인형을 다른 마트료시카 인형으로 교체했다고 적혀있습니다.

 

flags.docx도 한번 확인해 보겠습니다.

Flag의 절반이 들어있습니다.

 

나머지의 절반은 .zip 파일로 변환후 docx에 숨겨진 xml 파일이있었습니다.

word\fonts.xml 을 유심히 보면 xml 파일이 아니고 text 파일입니다. 

내부에 있는 문자열이 나머지 절반의 Flag를 포함하고있습니다.