[Disk Forensic] 파일에서 플래그를 찾아라.

Disk Forensic #22 (파일에서 플래그를 찾아라.)

 

디스크 포렌식 22번 문제

 

주어진 문제 파일은 확장자가 존재하지 않아 어떤 유형의 파일인지 알 수 없다.

 

리눅스 환경으로 옮겨서 file 명령어를 사용하여 어떤 유형의 데이터인지 확인하였다.

 

[그림 1] file 명령어 사용

 

결과를 확인해보면 문제 파일은 xz 압축 알고리즘으로 압축된 파일임을 알 수 있다. (이름이 너무 길어서 keka로 변경)

 

파일 압축을 풀기 위해 xz 확장자를 추가하고, unxz 명령어를 사용해서 압축을 해제한다.

 

[그림 2] xz 확장자 - unxz 명령어

 

압축을 풀면 동일한 명칭의 파일이 생성된다.

 

또다시 file 명령어를 사용해서 파일의 유형을 확인한다.

 

[그림 3] file 명령어 사용

 

결과를 확인하면 이번 파일은 7z 압축 알고리즘으로 압축된 파일이다.

 

파일을 더블 클릭하면 어떤 파일들이 압축되어 있는지 확인이 가능하다.

 

[그림 4] 압축 파일 내용 확인

 

위 화면과 같이 16개의 압축 파일들을 볼 수 있다.

 

(파일이 한 개당 4GB 크기라서 압축 풀면 노트북 용량이 터진다...ㅠㅠ)

 

문제에서 제공된 압축 파일의 용량은 10MB도 안 되지만 이 파일에 압축된 파일들은 모두 동일하게 4.2GB나 된다.

 

이런 특징들을 보면 해당 파일은 ZipBomb로 보인다..

 

ZipBomb : 압축이 풀릴 때 엄청난 양의 하드디스크와 메모리의 용량을 고갈시키는 악성 파일

 

압축을 풀면 노트북이 터질 거 같아 7-Zip File Manager 프로그램을 사용해서 압축된 파일들의 상세 정보를 확인하였다.

 

7-Zip File Manager : 7z 압축 알고리즘으로 압축된 파일의 상세한 분석을 할 수 있는 도구

 

 

7-Zip File Manager 프로그램 실행

 

7-Zip File Manager 프로그램을 통해 문제 파일을 불러오면 위 화면과 같이 이름, 크기, 압축된 크기, CRC, 수정한 날짜 등의 정보를 볼 수 있다.

 

이 중에서 013.7z만 다른 파일들과 다르게 압축된 크기와 CRC 정보가 다른 것을 볼 수 있다.

 

013.7z 압축 파일만 압축을 해제한 후에 또다시 어떤 파일들이 있는지 확인하였다.

 

013.7z 압축 파일 내용

 

013.7z 압축 파일의 내용이다.

 

똑같이 16개의 파일이 있지만, 이번에는 0009.7z 파일이 다른 파일들과 다르다. (노가다 문제..)

 

위 방법과 같이 특정한 파일만 압축을 해제한다.

 

0009.7z 압축 파일 내용

 

이번에도 똑같이 하나의 파일만 특정하게 파일 크기와 CRC 부분이 다르다.

 

계속 위 방법대로 하나만 압축을 풀어준다.

 

0000007.7z 압축 파일 내용

 

계속 풀어준다... 하하 (언제 끝남??)

 

0000000008.7z 압축 파일 내용

 

드디어 끝이 났다..

 

이번에는 7z 파일이 아닌 아무 확장자가 없는 파일로 보인다.

 

특정 파일만 압축을 풀고, file 명령어로 파일 유형을 확인한다.

 

bomb_08 파일 유형 확인

 

파일 유형에 대한 정보는 없고, 그냥 데이터 정보만 존재한다.

 

혹시 파일에서 플래그에 대한 문자열이 있는지 strings 명령어를 사용해서 분석하였다.

 

플래그 확인

 

다행히 플래그가 바로 나왔다..

 

strings 명령어를 통해 나온 결과값을 플래그로 입력하면 문제를 해결할 수 있다.

---

# Reference

 

http://www.yes24.com/Product/Goods/59156934