이름이 힌트라고 하니 왼쪽으로 늘려 보았다.
bmp에서의 가로크기와 세로크기가 어디에 위치한지 알기 위해 bmp구조에 대해 구글링을 했다.
형광색으로 칠해진 부분이 bmp파일의 가로와 세로이다. 마구잡이로 숫자를 변경했을 때 파일이 깨지는 것을 보아 이 방법은 아닌 것 같다.
그리고 HxD에서 파일 구조를 보던 중 색상은 00 또는 FF만 입력 가능한데 FF와 FE만 있는 것에 수상함을 느꼈고 LSB 스테가노그래피가 생각났다. 이름에서의 힌트는 left side b => lsb였다.
FE와 FF가 섞여 있는 부분에선 LSB를 1-2bit정도 바꾼다고 하는데 그 기법을 사용한 것 같다. 그래서 FE와 FF를 어떤 것으로 바꿔야 하나 구글링을 해봤다. (추천 검색어: bmp FF FE)
LSB로 생각했을 때 FE를 0 FF를 1로 생각할 수 있다고 한다.
이 부분을 노가다 할 것이다.
010011
1001001110010001
0001111011011011
0001101001011100
1101110100011001
0101101110010111
1101101100011010
0101110011011101
0001100101011011
1001011111010010
0101000011010000
0101001110010111
1101101100011010
0101110011011101
0001100101011011
1001111101111111
우리가 입력해야하는 암호는 영어이기에 위 문자를 이진수에서 아스키코드로 변환할 것이다.
바이너리(2진수) -> 아스키 변환 주소
https://www.rapidtables.org/ko/convert/number/binary-to-ascii.html
변환을 했는데 마지막 한글자가 안 나왔다... 처음에 HxD에서 FE가 끝나는 부분까지면 바꿔준 것이다.
FE가 끝나는 해당 줄(00000170)까지 변환을 해주자
마지막 중괄호까지 나왔다.
<참고 사이트>
bmp 구조:
스테가노그래피 공부 및 FF, FE 숫자 정보: https://bpsecblog.wordpress.com/2016/08/21/amalmot_4/
'포렌식' 카테고리의 다른 글
| [Whois] 정보보안교육 - 리버싱 어셈블러 핸드레이(2) (0) | 2021.10.13 |
|---|---|
| [Whois] 정보보안교육 - 리버싱 어셈블러 핸드레이(1) (0) | 2021.10.13 |
| [디지털포렌식] NONamed 길에서 주워온 만두 (0) | 2021.07.15 |
| [디지털포렌식] NONamed 입사테스트2 (0) | 2021.07.14 |
| [디지털포렌식]NONamed MagicalMAGE (0) | 2021.07.14 |