multimedia
-
Multimedia - 저는 애니메이션을 좋아하는…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:42
다운로드된 파일을 확인해 보면 아래와 같이 파일이 손상되어 있는것처럼 보입니다. 하지만 Hint 2 를 보면 손상된게 아니라고 이야기 하고 있습니다. 구글에 원본 사진을 한번 찾아보면 아래의 경로에 원본 사진이 있습니다. https://pp.vk.me/c625217/v625217819/1eec5/5WzbbhtpMkQ.jpg 원본 파일과 비교를 해보면 hex값이 아래와 같습니다. 두개의 파일을 비교햇을때 0x44 0x45 와 같이 1차이로 차이가 납니다. 2개의 파일을 hex가 다른 값의 차이가 1이기 때문에 똑같은 index에 존재하는 값의 차이를 결과로 출력하는 파이썬 코드를 작성하겠습니다. 하이라이트된 부분의 길이는 240으로 값을 8씩끊으면 문자열로 표시할 수 있습니다. 출력을 해보면 flag를 찾..
-
Multimedia - Recover the key$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:39
문제 파일을 보면 아래와 같이 DOS/MBR boot sector 라고 적혀 있습니다. 디스크 이미지 파일로 판단 되서 FTK Imager 를 이용해서 열어 보겠습니다. FAT16 File 인것을 알 수 있고, !2469 , !8149, !8808 파일들을 보면 jpg파일임에도 불구하고 헤더 시그니처가 깨져 있습니다. 3개의 파일을 추출해서 그중하나의 hex를 확인해 보면 아래와 같습니다. FF D8 FF E0 시그니처 인데 FF D8 부분이 깨져 있습니다. 그렇기 때문에 추가 해서 보면 아래와 같습니다. 사진들이 있는데, 문제에서 key를 ddtek 로 적혀 있는 것으로 보아 steghide 또는 outguess 툴을 이용해서 복호화를 해보겠습니다. 그중에 !2467.jpg에서 outguess 툴을 이..
-
Adam7 Algorithm Encoding을 이용한 PNG FILE Steganography Analysis$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:36
SECCON 2019 CTF 에서 아래와 같이 interlace 로 Adam7 Interlace 인 문제를 접했습니다. 그래서 Adam7 Interlace 와 관련된 알고리즘인 Adam7 Algorithm에 대해서 이야기 해보겠습니다. Adam7 Algorithm은 PNG Image 에서 사용 하는 Interlacing 알고리즘 중에 하나로 아래와 같은 7개의 sub image의 형식으로 이미지 출력이 진행됩니다. 이미지의 실질적인 데이터를 다루는 IDAT Chunk의 개수에 비례해서 위의 알고리즘이 몇번 반복 하는 지를 의미 합니다. SECCON 2019 CTF 문제에서는 총 8개의 IDAT Chunk 가 있었고 Chunk가 하나씩 많아 짐에 따라서 점점 구체적으로 픽셀이 입력되는 것을 확일 할 수 있..
-
Image 1bpp, 2bpp LSB Steganography$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:33
LSB (Least Significant Bit) 알고리즘 이란? (255, 255, 255) 11111111 LSB 해석 그대로 최하위 비트에 데이터를 은닉하는 스테가노 그래피 방법중 하나 입니다. 설명은 아래와 같습니다. 원본 사진 및 음원파일 즉, 멀티미디어 파일에 메시지를 은닉 시키는데 최 하위 비트인 가장 오른쪽 비트에 은닉을 시켜 둡니다. 그리고 은닉 시킨 데이터는 다시 아래와 같은 방식으로 추출합니다. 이번에는 1bpp , 2bpp 를 이용한 LSB Steganography 를 소개 해드리려고 합니다. bpp란? bit per pixel의 줄인말로 색을 표현 할 때 사용하는 단위 입니다. 기본적인 Image LSB Steganography를 1bpp LSB Steganography 라고 이야..
-
Multimedia - hohohahiho$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:17
문제의 비밀번호를 이용해서 문제를 열어보면 passwd.txt 와 Koala.zip 파일을 받을 수 있습니다. SHA256 : BINARY 를 보고 passwd가 SHA256을 바이트화 시켜보자 라는 생각을 했습니다. 01010011 01001000 01000001 00110010 00110101 00110110 를 Koala.zip 파일의 비밀번호로 사용하면 아래와 같습니다. 코알라 사진을 exiftool 로 열어보면 문자열들이 보입니다. base 문자열은 아래와 같이 복호화가 됩니다. 가장 긴 문자열이 수상해 보입니다. A를 . B를 - 로 변환해서 모스부호 복호화를 해보겠습니다. ..-. .-.. .- --. ---... -.- ....- .--. - ...-- -. .--. ....- - .---..
-
Multimedia - stream$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:00
문제 파일을 열어보면 tcp.stream eq 0 에 아래와 같은 문자열을 찾을 수 있습니다. 미디어 파일을 찾아 봐야 할 것 같습니다. HTTP 를 열어보면 파일이 하나 있습니다. 해당 미디어 파일을 다운받고 php 서버를 열어서 Document root 에 다운받은 파일을 넣습니다. vlc-wapper 을 이용해서 파일을 열어보면 Flag를 얻으 실 수 있습니다. Flag : MMA{windows_xp_is_too_old_to_create_problem!!} 출처 : 디지털 포렌식 with CTF
-
Multimedia - 각각의 소네트를 똑같이 즐기시오.$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 5. 23:59
문제 파일을 열어보면 셰익스피어의 소네트 내용을 확인 할 수 있다. 대부분 pdf 파일에 은닉을 시키면 PDFStreamDumper 라는 툴을 이용해야합니다. PDFStreamDumper로 PDF를 열어보면 위의 문자열에서 반복되는 문자열을 찾아보면 아래와 같습니다. [ TJ 0 -14.79 Td , TJ 0 -17.624 , TJ 0 -17.625 ] 0 17.624-5 -> 1 로 변환해서 값을 추출해 보겠습니다. 해당 명령어는 PDFStreamDumper 에서 볼수 있는 모든 데이터가 out.pdf 로 출력이 됩니다. 해당 파일에서 정규식을 이용해서 데이터를 추출할 수있는 코드를 작성해 보겠습니다. 코드를 실행시켜 보면 아래와 같이 flag가 나오는데 완전 하지 않습니다. x,d,j 를 t,a,r ..
-
Multimedia - 어딘가에 숨겨진 메시지가 있을 것이다.$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 5. 23:57
문제를 푸는데 거의 1시간을 날리고 알게된 내용이 있었던 문제이다. 해당 문제에 원래 힌트가 있다고 합니다. Hint : bpp. 그건 믿을 수 없다... 2bpp, 2x3 매트릭스 임베딩, Jessica Fridrich는 이문제를 쉽게 해결이 가능하다. 라는 힌트를 받았어야 했습니다. bpp란 bit per pixel 로 일정한 범위의 가짓수 만큼 색을 표현 하기 위해서 비트의 개수를 부르는 단위 입니다. 2bpp는 2개의 비트를 사용해서 픽셀당 2비트를 사용하겠다 라는 의미 입니다. 기존의 LSB Steganography는 가장 오른 쪽의 1비트를 사용했지만 2bpp인것으로 보아 픽셀당 2개의 데이터를 은닉 했을 것이다. 2bpp steganography 에대해서 검색을 하다가 다음과 같은 논문 내용..