[디지털포렌식] Suninatas 21번

이 문제는 자가 key 이후의 flag값을 가리고 있다.

보통 이미지와 다르게 파일의 크기가 컸고(속성에서 확인)

여러장의 이미지가 있다는 말은 즉, 카빙을 해야 한다는 말이다.

카빙: 파일 시스템의 도움 없이 파일들이 가지고 있는 고유 정보에 의존하여 삭제된 파일을 복구하는 것.

 

이 문제는 대표적인 몇몇 카빙 프로그램 중 foremost를 사용할 것이다. 근데 칼리리눅스에 탑재되어 있기에 가상머신을 활용하여 풀기로 하였다.

VMware에 칼리 iso 넣고 시작한 모습

이때 영어로 했어야 하나 싶기도(언어 설정인데 영어로 하면 따로 한글 패치 안 해도 됨)

kali 설치를 진행하였다.

한글 패치 후의 모습

처음에 한글 폰트를 설정해야 하기 때문에 터미널에서 한글 패치를 진행해주었다.

문제 사이트

문제 화면을 켰다.

문제 이미지를 다운로드 받았다.

cd [이름] : 해당 [이름] 파일(디렉터리)로 이동

터미널에서 foremost 진행을 해주었다.

foremost 명령어는 카빙을 하고자 하는 파일 앞에 foremost만 붙여주면 된다.

하지만 해당 파일이 있는 패스(path)에서 진행해주어야 하기 때문에 /(루트) 에서 바탕화면으로 이동해야 했다.

한글 패치를 해주었더니 경로 이름도 한글이었다.

ls: 현재 위치(루트)에서 접근할 수 있는 파일 목록 확인

ls -al: 파일(디렉터리)에 대한 정보(접근 권한, 소유자 이름, 크기, 최종 수정 일시, 이름 등 열람)

| : 결과값을 다음 명령으로 연결해 다음 명령의 전달인자로 이용

grep: 특정 문자열을 찾고자 할 때

 

바탕화면으로 이동한 뒤 foremost를 진행해주었다.

foremost 사용과정

프로세싱이 끝나고 output 파일에 파일이 카빙되었다.

 

그리고 카빙된 파일을 확인해보니

카빙된 이미지 조각들

이미지 뷰어가 내장되어 있지 않는건가...?

피곤한 관계로 배경화면을 설정해서 보기로 했다

자 위치가 다른 이미지를 보며 전체 flag 찾는중

Key is {Flag} 내용을 찾을 수 있었다.

 

<참고 사이트>

foremost명령어: https://blog.z3alous.xyz/231