-
Multimedia - Recover the key$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:39
문제 파일을 보면 아래와 같이 DOS/MBR boot sector 라고 적혀 있습니다.
디스크 이미지 파일로 판단 되서 FTK Imager 를 이용해서 열어 보겠습니다.
FAT16 File 인것을 알 수 있고, !2469 , !8149, !8808 파일들을 보면 jpg파일임에도 불구하고 헤더 시그니처가 깨져 있습니다.
3개의 파일을 추출해서 그중하나의 hex를 확인해 보면 아래와 같습니다.
FF D8 FF E0 시그니처 인데 FF D8 부분이 깨져 있습니다.
그렇기 때문에 추가 해서 보면 아래와 같습니다.
사진들이 있는데, 문제에서 key를 ddtek 로 적혀 있는 것으로 보아 steghide 또는 outguess 툴을 이용해서 복호화를 해보겠습니다.
그중에 !2467.jpg에서 outguess 툴을 이용해서 복호화에 성공 했습니다.
flag 이름의 파일에 추출된 파일을 저장했습니다.
HxD를 이용해서 파일을 보면 ZIP 파일이라는 것을 알 수 있습니다.
.zip의 확장자를 붙이고 압축해제 해보겠습니다.
해당 pdf 파일을 열어보면 아래와 같습니다.
Flag : 10289bace856ecec07721be5d70efe9d
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #14 (0) 2020.02.24 Multimedia - 저는 애니메이션을 좋아하는… (0) 2020.01.03 Memory - GrrCON 2015 #13 (0) 2020.01.03 Memory - GrrCON 2015 #12 (0) 2020.01.03 Memory - GrrCON 2015 #11 (0) 2020.01.03