NONamed 4

[디지털포렌식] NONamed left side b

이름이 힌트라고 하니 왼쪽으로 늘려 보았다. bmp에서의 가로크기와 세로크기가 어디에 위치한지 알기 위해 bmp구조에 대해 구글링을 했다. 형광색으로 칠해진 부분이 bmp파일의 가로와 세로이다. 마구잡이로 숫자를 변경했을 때 파일이 깨지는 것을 보아 이 방법은 아닌 것 같다. 그리고 HxD에서 파일 구조를 보던 중 색상은 00 또는 FF만 입력 가능한데 FF와 FE만 있는 것에 수상함을 느꼈고 LSB 스테가노그래피가 생각났다. 이름에서의 힌트는 left side b => lsb였다. FE와 FF가 섞여 있는 부분에선 LSB를 1-2bit정도 바꾼다고 하는데 그 기법을 사용한 것 같다. 그래서 FE와 FF를 어떤 것으로 바꿔야 하나 구글링을 해봤다. (추천 검색어: bmp FF FE) LSB로 생각했을 때..

포렌식 2021.07.15

[디지털포렌식] NONamed 길에서 주워온 만두

zip에 암호가 걸려있을까봐 풀지도 않고 HxD에서 확인해 보았다. 별 특이점이 없는것을 확인하고 압축을 풀어주었다. 헤더 부분은 png 시그니처 그대로 였다. 하지만 푸터 부분이 알 수 없게 섞여있었다. 그리고 맨 마지막 PASS: 1234가 힌트임을 알 수 있었다. 다른 툴을 사용하기 이전에 어떤 방식으로 문제를 접근할지 고민하였다. 이미지라서 스테가노그래피 기법인가 싶었다. 스테가노그래피: 데이터 은폐 기술 중 하나, 파일 속 불필요한 데이터 속 노이즈를 숨기고자 하는 메시지로 변형하여 암호화하는 것 스테가노그래피 기법 중 LSB스테가노그래피를 의심했으나 아니었다. LSB스테가노그래피: 주로 24비트 이미지 파일에서 많이 적용된다. 파일 구조에 대한 지식이 부족하다고 느껴서 png파일 구조를 다시 ..

포렌식 2021.07.15

[디지털포렌식] NONamed 입사테스트2

HxD에서 파일 구조를 확인하고 있다. jpg 파일이지만 헤더 구조가 마치 png처럼 되어있다. Decoded text 부분은 힌트를 주듯 PNG라고 되어있다. png 파일 헤더로 바꿔주었다. mandu.png 처럼 형식 지원이 되지 않다가 검은 화면이 나타났다. 여기서 파일 구조를 조금 더 깊게 공부하자면 png파일 구조: PNG 시그니처 + IHDR(그림 헤더) + IDAT(그림 데이터) + IEND(그림 끝부분) 으로 구성되어 있다. 한 장의 png당 한 개의 IDAT가 존재한다. 그림 데이터 IDAT 검색한 결과 2개로 뜨는 것으로 보아 그림이 한 장이 아닌 것을 확인할 수 있었다. 그리고 추가하지 않은 사진이 있는데 (푸터가 잘못된 부분) jpg 파일은 헤더가 png일 뿐만이 아니라 푸터도 pn..

포렌식 2021.07.14

[디지털포렌식]NONamed MagicalMAGE

문제 파일인 mandu.png 를 다운로드 받았다. 사진의 형식이 지원되지 않았다. 메모리 편집기인 HxD에서 확인해보았다. 헤더 부분은 png 형식으로 보이는 듯 싶었다. png의 헤더를 확실하게 알기 위해서 '파일 시그니처' 를 구글링하였다. png의 헤더는 89 50 4E 47 0D 0A 1A 0A 였다. File Magic Number = 파일 시그니처 파일 처음 존재 시그니처 = 헤더 시그니처 파일 마지막 존재 시그니처 = 푸터 시그니처 틀린 부분을 바꿔주었다. 저장 후 다시 열어보니 flag를 확인할 수 있었다. 파일 시그니처: http://forensic-proof.com/archives/300

포렌식 2021.07.14